KOMISJA EUROPEJSKA

Bruksela, dnia 3.6.2021

COM(2021) 281 final

2021/0136(COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

zmieniające rozporządzenie (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej

{SEC(2021) 228 final} - {SWD(2021) 124 final} - {SWD(2021) 125 final}

UZASADNIENIE

1.KONTEKST WNIOSKU

•Przyczyny i cele wniosku

Niniejsze uzasadnienie towarzyszy wnioskowi dotyczącemu rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (rozporządzenie eIDAS) 1 . Ten instrument prawny służy zapewnieniu w kontekście korzystania transgranicznego:

–dostępu do wysoce bezpiecznych i wiarygodnych rozwiązań w zakresie tożsamości elektronicznej;

–aby usługi publiczne i prywatne mogły opierać się na zaufanych i bezpiecznych rozwiązaniach w zakresie tożsamości cyfrowej;

–aby osoby fizyczne i prawne były uprawnione do korzystania z rozwiązań w zakresie tożsamości cyfrowej;

–aby rozwiązania te były powiązane z różnymi atrybutami i umożliwiały ukierunkowane udostępnianie danych dotyczących tożsamości ograniczone do potrzeb konkretnej żądanej usługi;

–akceptacji kwalifikowanych usług zaufania w UE i równych warunków ich świadczenia.

•Spójność z przepisami obowiązującymi w tej dziedzinie polityki

•Spójność z innymi politykami Unii

2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ

•Podstawa prawna

Celem niniejszej inicjatywy jest wsparcie transformacji Unii w kierunku jednolitego rynku cyfrowego. W kontekście postępującej cyfryzacji transgranicznych usług publicznych i prywatnych, które opierają się na stosowaniu rozwiązań w zakresie tożsamości cyfrowej, istnieje ryzyko, że w obecnych ramach prawnych obywatele nadal będą napotykać przeszkody i nie będą w stanie w pełni korzystać w całej UE z usług online w sposób niezakłócony ani chronić swojej prywatności. Występuje także ryzyko, że niedociągnięcia obecnych ram prawnych dotyczących usług zaufania zwiększyłyby fragmentację i zmniejszyłyby zaufanie, gdyby zaradzenie im pozostawiono wyłącznie w gestii państw członkowskich. W związku z tym jako odpowiednią podstawę prawną niniejszej inicjatywy wskazuje się art. 114 TFUE.

•Pomocniczość (w przypadku kompetencji niewyłącznych)

Obywatele i przedsiębiorstwa powinni móc korzystać z dostępności wysoce bezpiecznych i wiarygodnych rozwiązań w zakresie tożsamości cyfrowej, które mogą być stosowane w całej UE, oraz z możliwości przenoszenia elektronicznych poświadczeń atrybutów powiązanych z tożsamością. Najnowsze osiągnięcia technologiczne, sytuacja na rynku i zapotrzebowanie użytkowników wymagają dostępności bardziej przyjaznych dla użytkownika rozwiązań transgranicznych, które umożliwiają dostęp do usług online w całej UE, czego rozporządzenie eIDAS w swoim obecnym kształcie nie może zaoferować.

Użytkownicy coraz bardziej przyzwyczajają się także do rozwiązań dostępnych na całym świecie, na przykład w kontekście korzystania z rozwiązań takich jak pojedyncze logowanie, które większe platformy mediów społecznościowych zapewniają do celów dostępu do usług online. Państwa członkowskie nie są w stanie samodzielnie sprostać wyzwaniom, jakie stwarza to pod względem władzy rynkowej dużych dostawców usług – potrzebne są interoperacyjność i wiarygodne systemy identyfikacji elektronicznej na szczeblu UE. Ponadto elektroniczne poświadczenia atrybutów wydawane i akceptowane w jednym państwie członkowskim, takie jak elektroniczne świadectwo zdrowia, często nie są prawnie uznawane i akceptowane w innych państwach członkowskich. Stwarza to ryzyko, że państwa członkowskie będą nadal opracowywać fragmentaryczne rozwiązania krajowe, które nie mogą funkcjonować w kontekście transgranicznym.

Jeżeli chodzi o świadczenie usług zaufania, to mimo że są one w dużej mierze uregulowane i funkcjonują zgodnie z obowiązującymi przepisami, praktyki krajowe również stwarzają ryzyko większej fragmentacji.

Interwencja na szczeblu UE jest ostatecznie najodpowiedniejsza, aby zapewnić obywatelom i przedsiębiorstwom środki umożliwiające identyfikację transgraniczną i wymianę osobistych atrybutów tożsamości i danych uwierzytelniających za pomocą wysoce bezpiecznych i wiarygodnych rozwiązań w zakresie tożsamości cyfrowej zgodnie z unijnymi przepisami o ochronie danych. Wymaga to zaufanej i bezpiecznej identyfikacji elektronicznej oraz ram regulacyjnych łączących tę identyfikację z atrybutami i danymi uwierzytelniającymi na szczeblu UE. Jedynie w drodze interwencji na szczeblu UE można ustanowić zharmonizowane warunki, które zapewniają użytkownikom kontrolę nad transgranicznymi usługami cyfrowymi online i dostęp do nich, oraz ramy interoperacyjności, które ułatwią wykorzystywanie bezpiecznych rozwiązań w zakresie tożsamości cyfrowej w usługach online niezależnie od tego, gdzie w UE wydano dane rozwiązanie lub gdzie mieszka dany obywatel. Jak w dużej mierze wynika z przeglądu stosowania rozporządzenia eIDAS, jest mało prawdopodobne, by interwencja krajowa była równie efektywna i skuteczna.

•Proporcjonalność

Niniejsza inicjatywa jest proporcjonalna do zamierzonych celów i stanowi odpowiedni instrument służący ustanowieniu niezbędnej struktury interoperacyjności na potrzeby utworzenia unijnego ekosystemu tożsamości cyfrowej opartego na tożsamościach prawnych wydawanych przez państwa członkowskie oraz na dostarczaniu kwalifikowanych i niekwalifikowanych atrybutów tożsamości cyfrowej. Wnosi ona wyraźny wkład w osiągniecie celu, jakim jest poprawa jednolitego rynku cyfrowego dzięki bardziej zharmonizowanym ramom prawnym. Zharmonizowane europejskie portfele tożsamości cyfrowej, które państwa członkowskie mają wydawać na podstawie wspólnych norm technicznych, również stanowią wspólne podejście unijne przynoszące korzyści użytkownikom i stronom korzystającym z dostępności bezpiecznych rozwiązań transgranicznych w zakresie tożsamości elektronicznej. Niniejsza inicjatywa służy wyeliminowaniu ograniczeń obecnej infrastruktury interoperacyjności identyfikacji elektronicznej opartej na wzajemnym uznawaniu różnych krajowych systemów identyfikacji elektronicznej. Biorąc pod uwagę wyznaczone cele, uznaje się, że inicjatywa ta jest wystarczająco proporcjonalna, a jej koszty będą prawdopodobnie współmierne do potencjalnych korzyści. Proponowane rozporządzenie będzie wiązało się z kosztami finansowymi i administracyjnymi dla państw członkowskich jako wydawców europejskich portfeli tożsamości cyfrowej oraz dla dostawców usług zaufania i usług online. Nad kosztami tymi prawdopodobnie będą jednak przeważały znaczne potencjalne korzyści dla obywateli i użytkowników wynikające bezpośrednio z szerszego transgranicznego uznawania i akceptacji usług w zakresie tożsamości elektronicznej i atrybutów.

Kosztów związanych z tworzeniem nowych norm i dostosowywaniem się do nich dostawców usług zaufania i usług online nie można uniknąć, jeżeli ma zostać osiągnięty cel dotyczący używalności i dostępności. Inicjatywa ta ma na celu wykorzystanie inwestycji, które państwa członkowskie już poczyniły w ramach krajowych systemów tożsamości, i oparcie się na nich. Ponadto koszty dodatkowe wynikające z wniosku mają posłużyć wsparciu harmonizacji i są uzasadnione oczekiwaniem, że w dłuższej perspektywie doprowadzą do spadku obciążenia administracyjnego i kosztów przestrzegania przepisów. Koszty związane z akceptacją atrybutów uwierzytelniania tożsamości cyfrowej w sektorach regulowanych również można uznać za konieczne i proporcjonalne, o ile przyczyniają się one do osiągnięcia ogólnego celu i stanowią środki, za których pomocą sektory regulowane mogą wypełniać zobowiązania prawne na potrzeby zgodnej z prawem identyfikacji użytkownika.

•Wybór instrumentu

3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW

•Oceny ex post/oceny adekwatności obowiązującego prawodawstwa

•Konsultacje z zainteresowanymi stronami

•Gromadzenie i wykorzystanie wiedzy eksperckiej

•Ocena skutków

•Sprawność regulacyjna i uproszczenie

•Prawa podstawowe

Ponieważ dane osobowe wchodzą w zakres stosowania niektórych elementów rozporządzenia, środki zaprojektowano w taki sposób, by były w pełni zgodne z przepisami o ochronie danych. We wniosku udoskonalono na przykład możliwości w zakresie udostępniania danych i umożliwiania uznaniowego ujawniania informacji. Za pomocą europejskiego portfela tożsamości cyfrowej użytkownik będzie mógł kontrolować ilość danych przekazywanych stronom ufającym i uzyskiwać informacje o atrybutach wymaganych do świadczenia konkretnej usługi. Dostawcy usług muszą informować państwa członkowskie o zamiarze stosowania europejskiego portfela tożsamości cyfrowej, co umożliwi państwom członkowskim kontrolowanie, czy dostawcy usług wymagają zbiorów danych wrażliwych, na przykład dotyczących zdrowia, wyłącznie w zakresie zgodnym z prawem krajowym.

4.WPŁYW NA BUDŻET

Aby w optymalny sposób osiągnąć cele niniejszej inicjatywy, trzeba sfinansować szereg działań zarówno na poziomie Komisji, na którym przewiduje się przydział ok. 60 EPC w latach 2022–2027, jak i na poziomie państw członkowskich poprzez ich aktywne uczestnictwo w grupach ekspertów i komitetach powiązanych z pracami w ramach tej inicjatywy i składających się z przedstawicieli państw członkowskich. Łączne zasoby finansowe niezbędne do celów wdrożenia wniosku w latach 2022–2027 wyniosą do 30,825 mln EUR, z której to kwoty 8,825 mln EUR zostanie przeznaczone na koszty administracyjne, a do 22 mln EUR – na wydatki operacyjne objęte programem „Cyfrowa Europa” (do uzgodnienia). Finansowanie będzie przeznaczone na pokrycie kosztów związanych z utrzymaniem, opracowywaniem, hostingiem, obsługą i wspieraniem modułów identyfikacji elektronicznej i usług zaufania. Może być również przeznaczone na dotacje mające na celu łączenie usług z ekosystemem europejskiego portfela tożsamości cyfrowej oraz opracowanie norm i specyfikacji technicznych. Ponadto środki finansowe posłużą również sfinansowaniu corocznych badań i analiz dotyczących skuteczności i efektywności rozporządzenia w osiąganiu jego celów. Szczegółowy przegląd związanych z tym kosztów znajduje się w „ocenie skutków finansowych regulacji” związanej z niniejszą inicjatywą.

5.ELEMENTY FAKULTATYWNE

•Plany wdrożenia i monitorowanie, ocena i sprawozdania

•Szczegółowe objaśnienia poszczególnych przepisów wniosku

W art. 6a projektu rozporządzenia zobowiązuje się państwa członkowskie do wydania w ramach notyfikowanego systemu identyfikacji elektronicznej europejskiego portfela tożsamości cyfrowej zgodnie ze wspólnymi normami technicznymi po przeprowadzeniu obowiązkowej oceny zgodności i dobrowolnej certyfikacji w europejskich ramach certyfikacji cyberbezpieczeństwa ustanowionych na mocy aktu o cyberbezpieczeństwie. Zawiera on przepisy zapewniające osobom fizycznym i prawnym możliwość bezpiecznego żądania i otrzymywania, przechowywania, łączenia i wykorzystywania danych identyfikujących osobę i elektronicznych poświadczeń atrybutów na potrzeby uwierzytelniania online i offline oraz umożliwienia dostępu do towarów i usług publicznych i prywatnych online pod kontrolą użytkownika. Certyfikacja ta nie narusza przepisów RODO w tym sensie, że operacje przetwarzania danych osobowych związane z europejskim portfelem tożsamości cyfrowej mogą być certyfikowane wyłącznie na podstawie art. 42 i 43 RODO.

Art. 6b wniosku zawiera przepisy szczegółowe dotyczące wymogów mających zastosowanie do stron ufających w celu zapobiegania oszustwom oraz zapewnienia uwierzytelniania danych identyfikujących osobę i elektronicznych poświadczeń atrybutów pochodzących z europejskiego portfela tożsamości cyfrowej.

Aby udostępnić więcej środków identyfikacji elektronicznej do użytku transgranicznego oraz zwiększyć skuteczność procesu wzajemnego uznawania notyfikowanych systemów identyfikacji elektronicznej, w art. 7 nałożono na państwa członkowskie obowiązek zgłoszenia co najmniej jednego systemu identyfikacji elektronicznej. Aby zapewnić niepowtarzalną i trwałą identyfikację osób fizycznych, w art. 11a dodano ponadto przepisy ułatwiające unikalną identyfikację. Dotyczy to przypadków, w których identyfikacja jest wymagana na mocy prawa, np. w obszarze zdrowia, w obszarze finansów, aby wywiązać się z obowiązków w zakresie przeciwdziałania praniu pieniędzy, lub do celów sądowych. W tym celu państwa członkowskie będą zobowiązane do włączenia do minimalnego zbioru danych identyfikujących osobę unikalnego i trwałego identyfikatora. Możliwość korzystania przez państwa członkowskie z certyfikacji w celu zapewnienia zgodności z rozporządzeniem, a tym samym zastąpienie procesu wzajemnej oceny, zwiększa skuteczność wzajemnego uznawania.

W sekcji 3 przedstawiono nowe przepisy dotyczące transgranicznego korzystania z europejskiego portfela tożsamości cyfrowej, aby zapewnić użytkownikom możliwości korzystania z tych portfeli w celu uzyskiwania dostępu do usług online świadczonych przez podmioty sektora publicznego i prywatnych dostawców usług, które to usługi wymagają silnego uwierzytelniania użytkownika.

W rozdziale III dotyczącym usług zaufania zmieniono art. 14 dotyczący aspektów międzynarodowych, aby umożliwić Komisji przyjmowanie decyzji wykonawczych potwierdzających równoważność wymogów mających zastosowanie do dostawców usług zaufania mających siedzibę w państwach trzecich i do świadczonych przez nich usług, poza korzystaniem z umów o wzajemnym uznawaniu zgodnie z art. 218 TFUE.

W odniesieniu do przepisów ogólnych mających zastosowanie do usług zaufania, w tym do kwalifikowanych dostawców usług zaufania, zmieniono art. 17, 18, 20, 21 i 24 w celu dostosowania ich do przepisów mających zastosowanie do bezpieczeństwa sieci i informacji w UE. Jeżeli chodzi o metody, które kwalifikowani dostawcy usług zaufania mają stosować na potrzeby weryfikacji tożsamości osób fizycznych lub prawnych, którym wydawane są kwalifikowane certyfikaty, zharmonizowano i doprecyzowano przepisy dotyczące korzystania ze środków identyfikacji na odległość, aby zapewnić stosowanie tych samych przepisów w całej UE.

W rozdziale III przedstawiono nowy art. 29a w celu określenia wymogów dotyczących kwalifikowanej usługi zarządzania urządzeniami do składania podpisu elektronicznego na odległość. Nowa kwalifikowana usługa zaufania będzie bezpośrednio powiązana ze środkami przywołanymi i ocenionymi w ocenie skutków oraz oparta na nich, w szczególności środkach dotyczących „harmonizacji procesu certyfikacji do celów składania podpisu elektronicznego na odległość” i innych środkach wymagających zharmonizowania przez państwa członkowskie praktyk nadzoru.

W celu zapewnienia użytkownikom możliwości zidentyfikowania, kto stoi za daną witryną internetową, zmieniono art. 45, aby zobowiązać dostawców przeglądarek internetowych do ułatwienia korzystania z kwalifikowanych certyfikatów uwierzytelniania witryn internetowych.

W rozdziale III przedstawiono trzy nowe sekcje.

Nową sekcją 9 wprowadzono przepisy dotyczące skutków prawnych elektronicznych poświadczeń atrybutów, ich stosowania w określonych sektorach oraz wymogów dotyczących kwalifikowanych poświadczeń atrybutów. W celu zapewnienia wysokiego poziomu zaufania w art. 45d dodano przepis dotyczący weryfikacji atrybutów w zestawieniu ze źródłami autentycznymi. Aby zapewnić użytkownikom europejskiego portfela tożsamości cyfrowej możliwość korzystania z dostępności elektronicznych poświadczeń atrybutów i otrzymywania takich poświadczeń w odniesieniu do tego portfela, w art. 45e dodano stosowny wymóg. Art. 45f zawiera natomiast dodatkowe przepisy w odniesieniu do świadczenia usług elektronicznego poświadczania atrybutów, w tym dotyczące ochrony danych osobowych.

Nowa sekcja 10 umożliwia świadczenie kwalifikowanych usług archiwizacji elektronicznej na szczeblu UE. Art. 45g dotyczący kwalifikowanych usług archiwizacji elektronicznej uzupełnia art. 34 i 40, które odnoszą się kwalifikowanych usług konserwacji kwalifikowanych podpisów elektronicznych i kwalifikowanych pieczęci elektronicznych.

W nowej sekcji 11 ustanowiono ramy usług zaufania w odniesieniu do tworzenia i prowadzenia rejestrów elektronicznych i kwalifikowanych rejestrów elektronicznych. Rejestr elektroniczny łączy stosowanie znaczników czasu danych i kolejności danych z pewnością co do twórcy danych, co stanowi rozwiązanie podobne do podpisu elektronicznego, przy czym dodatkową korzyścią wynikającą z rejestru jest umożliwienie bardziej zdecentralizowanego zarządzania, które jest odpowiednie dla współpracy wielostronnej. Jest to ważne w przypadku różnych przypadków użycia, które mogą być oparte na rejestrach elektronicznych.

Rejestry elektroniczne pomagają przedsiębiorstwom osiągnąć oszczędności kosztów dzięki zwiększeniu skuteczności i bezpieczeństwa koordynacji wielostronnej, a także ułatwiają nadzór regulacyjny. Wobec braku europejskich uregulowań istnieje ryzyko, że ustawodawcy krajowi ustanowią rozbieżne normy krajowe. Aby zapobiec fragmentacji, konieczne jest określenie jednolitych ogólnoeuropejskich ram umożliwiających transgraniczne uznawanie usług zaufania wykorzystywanych w prowadzeniu rejestrów elektronicznych. Ta ogólnoeuropejska norma dotycząca operatorów węzłów będzie miała zastosowanie niezależnie od innych przepisów prawa wtórnego UE. W przypadku gdy rejestry elektroniczne wykorzystuje się w obsłudze emisji obligacji lub obrotu nimi, lub na potrzeby kryptoaktywów, przypadki użycia powinny być zgodne z wszystkimi mającymi zastosowanie przepisami finansowymi, np. z dyrektywą w sprawie rynków instrumentów finansowych 11 , dyrektywą w sprawie usług płatniczych 12 i przyszłym rozporządzeniem w sprawie rynków kryptoaktywów 13 . Jeżeli przypadki użycia dotyczą danych osobowych, dostawcy usług będą musieli przestrzegać RODO.

W 2017 r. 75 % wszystkich przypadków użycia rejestrów elektronicznych dotyczyło bankowości i finansów. Przypadki użycia rejestrów elektronicznych są obecnie coraz bardziej zróżnicowane: 17 % dotyczy obszaru komunikacji i mediów; 15 % – produkcji i zasobów naturalnych, 10 % – sektora rządowego, 8 % – ubezpieczeń, 5 % – handlu detalicznego, 6 % – transportu, 5 % – usług użyteczności publicznej 14 .

Ponadto w rozdziale VI wprowadzono nowy art. 48b, aby zapewnić gromadzenie danych statystycznych dotyczących korzystania z europejskiego portfela tożsamości cyfrowej na potrzeby monitorowania skuteczności zmienionego rozporządzenia.

2021/0136 (COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

zmieniające rozporządzenie (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego 15 ,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,

a także mając na uwadze, co następuje:

(1)W komunikacie Komisji z dnia 19 lutego 2020 r. pt. „Kształtowanie cyfrowej przyszłości Europy” 16 zapowiedziano przegląd rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w celu zwiększenia jego skuteczności, zwiększenia korzyści dla sektora prywatnego i promowania wiarygodnych tożsamości cyfrowych dla wszystkich Europejczyków.

(2)W konkluzjach z dni 1–2 października 2020 r. 17 Rada Europejska wezwała Komisję do przedstawienia wniosku w sprawie opracowania ogólnounijnych ram bezpiecznej publicznej identyfikacji elektronicznej, w tym interoperacyjnych podpisów cyfrowych, by zapewnić ludziom kontrolę nad ich tożsamością i danymi w internecie, a także by umożliwić dostęp do publicznych, prywatnych i transgranicznych usług cyfrowych.

(3)W komunikacie Komisji z dnia 9 marca 2021 r. pt. „Cyfrowy kompas na 2030 r.: europejska droga w cyfrowej dekadzie” 18 wyznaczono cel ram Unii, zgodnie z którym do 2030 r. powinny one zapewnić wprowadzenie na szeroką skalę zaufanej, kontrolowanej przez użytkownika tożsamości, dzięki której każdy obywatel będzie mógł kontrolować swoje kontakty i obecność online.

(4)Bardziej zharmonizowane podejście do identyfikacji cyfrowej powinno ograniczyć ryzyko i koszty wynikające z obecnej fragmentacji, która spowodowana jest stosowaniem rozbieżnych rozwiązań krajowych, oraz wzmocni jednolity rynek poprzez umożliwienie obywatelom, innym rezydentom określonym w prawie krajowym i przedsiębiorstwom identyfikacji online w dogodny i jednolity sposób w całej Unii. Każdy powinien mieć możliwość bezpiecznego dostępu do usług publicznych i prywatnych za pomocą ulepszonego ekosystemu usług zaufania oraz zweryfikowanych dowodów potwierdzających tożsamość i poświadczeń atrybutów takich jak dyplom ukończenia studiów wyższych prawnie uznawany i akceptowany w całej Unii. Ramy europejskiej tożsamości cyfrowej mają na celu przejście od polegania wyłącznie na krajowych rozwiązaniach w zakresie tożsamości cyfrowej do dostarczania elektronicznych poświadczeń atrybutów ważnych na szczeblu europejskim. Dostawcy elektronicznych poświadczeń atrybutów powinni odnieść korzyści dzięki jasnemu i jednolitemu zestawowi przepisów, a administracje publiczne powinny mieć możliwość polegania na dokumentach elektronicznych w określonym formacie.

(5)Aby wspierać konkurencyjność europejskich przedsiębiorstw, dostawcy usług online powinni móc polegać na rozwiązaniach w zakresie tożsamości cyfrowej uznawanych w całej Unii, niezależnie od państwa członkowskiego, w którym zostały wydane, a tym samym czerpać korzyści ze zharmonizowanego europejskiego podejścia do zaufania, bezpieczeństwa i interoperacyjności. Zarówno użytkownicy, jak i dostawcy usług powinni mieć możliwość korzystania z przyznania elektronicznym poświadczeniom atrybutów takiej samej wartości prawnej w całej UE.

(6)W ramach wdrażania niniejszego rozporządzenia do przetwarzania danych osobowych ma zastosowanie rozporządzenie (UE) 2016/679 19 . W związku z tym w niniejszym rozporządzeniu należy ustanowić określone zabezpieczenia uniemożliwiające dostawcom środków identyfikacji elektronicznej i elektronicznego poświadczenia atrybutów łączenie danych osobowych pochodzących z innych usług z danymi osobowymi dotyczącymi usług objętych zakresem stosowania niniejszego rozporządzenia.

(7)Konieczne jest określenie zharmonizowanych warunków na potrzeby ustanowienia ram europejskich portfeli tożsamości cyfrowej wydawanych przez państwa członkowskie, które to ramy powinny uprawniać wszystkich obywateli Unii i innych rezydentów określonych w prawie krajowym do bezpiecznego udostępniania danych związanych z ich tożsamością w sposób przyjazny dla użytkownika i dogodny oraz pod wyłączną kontrolą użytkownika. Należy rozwijać technologie wykorzystywane do osiągnięcia tych celów, dążąc do zapewnienia najwyższego poziomu bezpieczeństwa, wygody użytkowników i szerokiej używalności. Państwa członkowskie powinny zapewnić równy dostęp do identyfikacji cyfrowej wszystkim swoim obywatelom i rezydentom.

(8)W celu zapewnienia zgodności z prawem Unii lub prawem krajowym zgodnym z prawem Unii dostawcy usług powinni informować państwa członkowskie o zamiarze polegania na europejskich portfelach tożsamości cyfrowej. Pozwoli to państwom członkowskim chronić użytkowników przed oszustwami i zapobiegać nielegalnemu wykorzystywaniu danych dotyczących tożsamości i elektronicznych poświadczeń atrybutów, a także zapewnić, aby przetwarzanie danych wrażliwych, takich jak dane dotyczące zdrowia, mogło być weryfikowane przez strony ufające zgodnie z prawem Unii lub prawem krajowym.

(9)Wszystkie europejskie portfele tożsamości cyfrowej powinny umożliwiać użytkownikom elektroniczną identyfikację i uwierzytelnianie online i offline w kontekście transgranicznym na potrzeby dostępu do szerokiego zakresu usług publicznych i prywatnych. Bez uszczerbku dla prerogatyw państw członkowskich w zakresie identyfikacji ich obywateli i rezydentów, portfele mogą również zaspokajać potrzeby instytucjonalne administracji publicznych, organizacji międzynarodowych oraz instytucji, organów i jednostek organizacyjnych Unii. Korzystanie z portfeli offline byłoby ważne w wielu sektorach, w tym w sektorze opieki zdrowotnej, w którym usługi są często świadczone w ramach kontaktu osobistego, a w przypadku recept elektronicznych powinna istnieć możliwość stosowania kodów QR lub podobnych technologii do weryfikacji autentyczności. W opartych na „wysokim” poziomie bezpieczeństwa europejskich portfelach tożsamości cyfrowej należy wykorzystać potencjał, jaki oferują rozwiązania odporne na ingerencję, takie jak zabezpieczenia, by zapewnić zgodność z wymogami bezpieczeństwa określonymi w niniejszym rozporządzeniu. Europejskie portfele tożsamości cyfrowej powinny również umożliwiać użytkownikom tworzenie i używanie kwalifikowanych podpisów i pieczęci elektronicznych akceptowanych w całej UE. Aby zapewnić obywatelom i przedsiębiorstwom w całej UE korzyści w zakresie uproszczenia przepisów i zmniejszenia kosztów, w tym poprzez umożliwienie korzystania z uprawnień do reprezentowania i zgód elektronicznych, państwa członkowskie powinny wydawać europejskie portfele tożsamości cyfrowej oparte na wspólnych normach, aby zapewnić niezakłóconą interoperacyjność i wysoki poziom bezpieczeństwa. Wyłącznie właściwe organy państw członkowskich mogą zapewnić wysoki stopień pewności przy ustalaniu tożsamości danej osoby, gwarantując tym samym, że osoba podająca daną tożsamość jest faktycznie osobą, za którą się podaje. Europejskie portfele tożsamości cyfrowej muszą być zatem oparte się na tożsamości prawnej obywateli, innych rezydentów lub osób prawnych. Zaufanie do europejskich portfeli tożsamości cyfrowej ulegnie zwiększeniu ze względu na fakt, że podmioty je wydające są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa współmiernego do stwarzanego ryzyka dla praw i wolności osób fizycznych zgodnie z rozporządzeniem (UE) 2016/679.

(10)W celu osiągnięcia wysokiego poziomu bezpieczeństwa i wiarygodności w niniejszym rozporządzeniu ustanowiono wymogi dotyczące europejskich portfeli tożsamości cyfrowej. Zgodność europejskich portfeli tożsamości cyfrowej z tymi wymogami powinna być certyfikowana przez akredytowane podmioty sektora publicznego lub prywatnego wyznaczone przez państwa członkowskie. Poleganie na systemie certyfikacji opartym na dostępności norm wspólnie uzgodnionych z państwami członkowskimi powinno zapewnić wysoki poziom zaufania i interoperacyjności. Certyfikacja powinna w szczególności opierać się na odpowiednich europejskich programach certyfikacji cyberbezpieczeństwa ustanowionych na podstawie rozporządzenia (UE) 2019/881 20 . Certyfikacja taka powinna pozostawać bez uszczerbku dla certyfikacji w odniesieniu do przetwarzania danych osobowych na podstawie rozporządzenia (UE) 2016/679.

(11)Europejskie portfele tożsamości cyfrowej powinny zapewniać najwyższy poziom bezpieczeństwa danych osobowych wykorzystywanych do uwierzytelniania niezależnie od tego, czy dane te są przechowywane lokalnie, czy przy użyciu rozwiązań opartych na chmurze, z uwzględnieniem różnych poziomów ryzyka. Wykorzystywanie danych biometrycznych do uwierzytelniania jest jedną z metod identyfikacji zapewniających wysoki poziom pewności, zwłaszcza w połączeniu z innymi elementami uwierzytelniania. Ponieważ dane biometryczne dotyczą unikalnych cech danej osoby, korzystanie z tych danych wymaga środków organizacyjnych i środków bezpieczeństwa współmiernych do ryzyka, jakie takie przetwarzanie może stwarzać dla praw i wolności osób fizycznych, oraz musi być zgodne z rozporządzeniem (UE) 2016/679.

(12)Aby zapewnić otwartość europejskich ram tożsamości cyfrowej na innowacje i rozwój technologiczny oraz aby ramy te wytrzymywały próbę czasu, należy zachęcać państwa członkowskie do wspólnego tworzenia piaskownic do testowania innowacyjnych rozwiązań w kontrolowanym i bezpiecznym środowisku, w szczególności w celu poprawy funkcjonalności, ochrony danych osobowych, bezpieczeństwa i interoperacyjności tych rozwiązań oraz w celu uzyskiwania informacji na potrzeby przyszłych aktualizacji technicznych dokumentów referencyjnych i wymogów prawnych. Środowisko to powinno sprzyjać włączeniu europejskich małych i średnich przedsiębiorstw, przedsiębiorstw typu start-up oraz innowatorów i badaczy indywidualnych.

(13)Rozporządzenie (UE) 2019/1157 21 zwiększa bezpieczeństwo dowodów osobistych z ulepszonymi zabezpieczeniami do sierpnia 2021 r. Państwa członkowskie powinny rozważyć możliwość notyfikowania tych dowodów w ramach systemów identyfikacji elektronicznej, aby zwiększyć transgraniczną dostępność środków identyfikacji elektronicznej.

(14)Proces notyfikacji systemów identyfikacji elektronicznej należy uprościć i przyspieszyć, aby promować dostęp do wygodnych, zaufanych, bezpiecznych i innowacyjnych rozwiązań w zakresie uwierzytelniania i identyfikacji oraz, w stosownych przypadkach, zachęcać prywatnych dostawców tożsamości do oferowania organom państw członkowskich systemów identyfikacji elektronicznej do notyfikacji jako krajowe systemy elektronicznych dowodów tożsamości na podstawie rozporządzenia (UE) nr 910/2014.

(15)Usprawnienie obecnych procedur notyfikacji i wzajemnej oceny zapobiegnie niejednorodnemu podejściu do oceny różnych notyfikowanych systemów identyfikacji elektronicznej i ułatwi budowanie zaufania między państwami członkowskimi. Nowe, uproszczone mechanizmy powinny sprzyjać współpracy państw członkowskich w zakresie bezpieczeństwa i interoperacyjności notyfikowanych systemów identyfikacji elektronicznej.

(16)Państwa członkowskie powinny odnieść korzyści dzięki nowym, elastycznym narzędziom służącym do zapewniania zgodności z wymogami niniejszego rozporządzenia i odpowiednich aktów wykonawczych. Niniejsze rozporządzenie powinno umożliwiać państwom członkowskim korzystanie ze sprawozdań i ocen sporządzonych przez akredytowane jednostki oceniające zgodność lub z dobrowolnych programów certyfikacji bezpieczeństwa ICT, takich jak programy certyfikacji, które mają zostać ustanowione na szczeblu Unii na podstawie rozporządzenia (UE) 2019/881, do celów poparcia twierdzeń dotyczących dostosowania programów lub ich części do wymogów rozporządzenia w zakresie interoperacyjności i bezpieczeństwa notyfikowanych systemów identyfikacji elektronicznej.

(17)Dostawcy usług wykorzystują dane dotyczące tożsamości dostarczone przez zbiór danych identyfikujących osobę dostępnych w ramach systemów identyfikacji elektronicznej na podstawie rozporządzenia (UE) nr 910/2014, aby dopasować użytkownika z innego państwa członkowskiego do tożsamości prawnej danego użytkownika. Pomimo korzystania ze zbioru danych eIDAS w wielu przypadkach zapewnienie dokładnego dopasowania wymaga jednak dodatkowych informacji na temat użytkownika oraz określonych procedur unikalnej identyfikacji na szczeblu krajowym. W celu dalszego wspomagania używalności środków identyfikacji elektronicznej w niniejszym rozporządzeniu należy zobowiązać państwa członkowskie do wprowadzenia konkretnych środków służących zapewnieniu prawidłowego dopasowania tożsamości w procesie identyfikacji elektronicznej. W tym samym celu w niniejszym rozporządzeniu należy również rozszerzyć obowiązkowy minimalny zbiór danych i wprowadzić wymóg stosowania unikalnego i trwałego identyfikatora elektronicznego zgodnego z prawem Unii w przypadkach, w których konieczna jest zgodna z prawem unikalna i trwała identyfikacja użytkownika na jego żądanie.

(18)Zgodnie z dyrektywą (UE) 2019/882 22 osoby z niepełnosprawnościami powinny mieć możliwość korzystania z europejskich portfeli tożsamości cyfrowej, usług zaufania i produktów przeznaczonych dla użytkownika końcowego stosowanych do świadczenia tych usług na równi z innymi użytkownikami.

(19)Niniejsze rozporządzenie nie powinno obejmować aspektów związanych z zawieraniem i ważnością umów lub innych zobowiązań prawnych, w przypadku gdy istnieją wymogi dotyczące formy wprowadzone na mocy prawa krajowego lub unijnego. Dodatkowo nie powinno ono mieć wpływu na krajowe wymogi w zakresie formy dotyczące rejestrów publicznych, w szczególności rejestrów handlowych i rejestrów gruntów.

(20)Świadczenie usług zaufania i korzystanie z nich staje się coraz ważniejsze dla handlu międzynarodowego i współpracy międzynarodowej. Partnerzy międzynarodowi UE tworzą ramy zaufania oparte na rozporządzeniu (UE) nr 910/2014. Aby w związku z tym ułatwić uznawanie takich usług i ich dostawców, w przepisach wykonawczych można określić warunki, na których ramy zaufania państw trzecich można uznać za równoważne określonym w niniejszym rozporządzeniu ramom zaufania dotyczącym kwalifikowanych usług zaufania i kwalifikowanych dostawców tych usług, jako uzupełnienie możliwości wzajemnego uznawania usług zaufania i dostawców tych usług mających siedzibę w Unii i w państwach trzecich zgodnie z art. 218 Traktatu.

(21)Niniejsze rozporządzenie powinno opierać się na aktach Unii zapewniających kontestowalne i uczciwe rynki w sektorze cyfrowym. Jest ono oparte w szczególności na rozporządzeniu (UE) XXX/XXXX [akt o rynkach cyfrowych], w którym wprowadza się przepisy dotyczące dostawców podstawowych usług platformowych wyznaczonych jako strażnicy dostępu, a także m.in. zakazuje się strażnikom dostępu nakładania na użytkowników biznesowych obowiązku korzystania z usługi identyfikacyjnej świadczonej przez strażnika dostępu w kontekście usług oferowanych przez użytkowników biznesowych za pośrednictwem podstawowych usług platformowych tego strażnika dostępu, jak również obowiązku oferowania takiej usługi identyfikacyjnej lub współdziałania z taką usługą. W art. 6 ust. 1 lit. f) rozporządzenia (UE) XXX/XXXX [akt o rynkach cyfrowych] zobowiązuje się strażników dostępu, aby zapewniali użytkownikom biznesowym i dostawcom usług pomocniczych możliwość uzyskania dostępu do tego samego systemu operacyjnego, sprzętu lub funkcji oprogramowania, które są dostępne dla strażnika dostępu lub wykorzystywane przez niego do świadczenia dowolnych usług pomocniczych, oraz gwarantowali interoperacyjność wspomnianych systemu operacyjnego, sprzętu lub funkcji oprogramowania. Zgodnie z art. 2 pkt 15 [aktu o rynkach cyfrowych] usługi identyfikacyjne stanowią rodzaj usług pomocniczych. Użytkownicy biznesowi i dostawcy usług pomocniczych powinni zatem mieć możliwość dostępu do takiego sprzętu lub oprogramowania, np. zabezpieczeń smartfonów, oraz współdziałać z nimi za pośrednictwem europejskich portfeli tożsamości cyfrowej lub notyfikowanych przez państwa członkowskie środków identyfikacji elektronicznej.

(22)Aby uprościć obowiązki w zakresie cyberbezpieczeństwa nałożone na dostawców usług zaufania, a także umożliwić tym dostawcom i ich odpowiednim właściwym organom korzystanie z ram prawnych ustanowionych dyrektywą (UE) XXXX/XXXX (dyrektywą NIS 2), dostawcy usług zaufania są zobowiązani do wprowadzenia odpowiednich środków technicznych i organizacyjnych na podstawie dyrektywy (UE) XXXX/XXXX (dyrektywy NIS 2), takich jak środki służące przeciwdziałaniu awariom systemu, błędom ludzkim, szkodliwym działaniom lub zjawiskom naturalnym w celu zarządzania ryzykiem stwarzanym dla bezpieczeństwa sieci i systemów informatycznych, z których dostawcy ci korzystają przy świadczeniu swoich usług, a także w celu zgłaszania znaczących incydentów i zagrożeń dla cyberbezpieczeństwa zgodnie z dyrektywą (UE) XXXX/XXXX (dyrektywą NIS 2). Jeżeli chodzi o zgłaszanie incydentów, dostawcy usług zaufania powinni zgłaszać wszelkie incydenty mające znaczący wpływ na świadczenie ich usług, w tym incydenty spowodowane kradzieżą lub utratą urządzeń, uszkodzeniami kabla sieciowego lub incydenty występujące w kontekście identyfikacji osób. Wymogi w zakresie zarządzania ryzykiem w cyberprzestrzeni i obowiązki w zakresie zgłaszania incydentów określone w dyrektywie (UE) XXXX/XXXX [dyrektywie NIS 2] należy uznać za uzupełniające w stosunku do wymogów nałożonych niniejszym rozporządzeniem na dostawców usług zaufania. W stosownych przypadkach właściwe organy wyznaczone na podstawie dyrektywy (UE) XXXX/XXXX (dyrektywy NIS 2) powinny nadal stosować ustalone praktyki krajowe lub wytyczne dotyczące wdrażania wymogów w zakresie bezpieczeństwa i sprawozdawczości oraz nadzoru nad zgodnością z takimi wymogami na podstawie rozporządzenia (UE) nr 910/2014. Żadne wymogi wynikające z niniejszego rozporządzenia nie mają wpływu na obowiązek zawiadamiania o naruszeniach ochrony danych osobowych wynikający z rozporządzenia (UE) 2016/679.

(23)Należy zwrócić należytą uwagę na zapewnienie skutecznej współpracy między organami ds. bezpieczeństwa sieci i informacji a organami ds. eIDAS. W przypadkach, w których organ nadzoru na podstawie niniejszego rozporządzenia jest inny niż właściwe organy wyznaczone na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywy NIS 2], organy te powinny ściśle i terminowo współpracować poprzez wymianę odpowiednich informacji, aby zapewnić skuteczny nadzór nad dostawcami usług zaufania i przestrzegania przez tych dostawców wymogów określonych w niniejszym rozporządzeniu i dyrektywie (UE) XXXX/XXXX [dyrektywie NIS 2]. Organy nadzoru określone w niniejszym rozporządzeniu powinny być w szczególności uprawnione do zwracania się do właściwego organu określonego w dyrektywie (UE) XXXXX/XXXX [dyrektywie NIS 2] o udzielenie odpowiednich informacji potrzebnych do przyznania statusu kwalifikowanego oraz do przeprowadzenia działań nadzorczych w celu zweryfikowania zgodności dostawców usług zaufania z odpowiednimi wymogami określonymi w dyrektywie NIS 2 lub zażądania od tych dostawców, by zaradzili niezgodności.

(24)Istotne jest ustanowienie ram prawnych służących ułatwieniu transgranicznego uznawania między istniejącymi krajowymi systemami prawnymi, związanego z usługami rejestrowanego doręczenia elektronicznego. Ramy te mogłyby stworzyć także nowe możliwości rynkowe dla unijnych dostawców usług zaufania w odniesieniu do oferowania nowych ogólnoeuropejskich usług rejestrowanego doręczenia elektronicznego oraz zapewnić identyfikację odbiorców z wyższym poziomem pewności niż identyfikacja nadawcy.

(25)W większości przypadków obywatele i inni rezydenci nie mogą prowadzić transgranicznej cyfrowej wymiany informacji związanych z tożsamością, takich jak: adresy, wiek i kwalifikacje zawodowe, prawa jazdy i inne zezwolenia oraz dane dotyczące płatności, w sposób bezpieczny i z zapewnieniem wysokiego stopnia ochrony danych.

(26)Powinna istnieć możliwość wydawania i obsługi wiarygodnych atrybutów cyfrowych oraz przyczynienia się do zmniejszenia obciążenia administracyjnego dzięki umożliwieniu obywatelom i innym rezydentom korzystania z tych atrybutów w transakcjach prywatnych i publicznych. Obywatele i inni rezydenci powinni móc na przykład wykazać posiadanie ważnego prawa jazdy wydanego przez organ w jednym państwie członkowskim, który to dokument właściwe organy w innych państwach członkowskich mogą zweryfikować i na którym mogą polegać, oraz powinni móc korzystać ze swoich danych uwierzytelniających dotyczących zabezpieczenia społecznego lub z przyszłych cyfrowych dokumentów podróży w kontekście transgranicznym.

(27)Każdy podmiot, który gromadzi, tworzy i wydaje poświadczone atrybuty, takie jak: dyplomy, licencje, akty urodzenia, powinien móc stać się dostawcą elektronicznego poświadczenia atrybutów. Strony ufające powinny korzystać z elektronicznych poświadczeń atrybutów jako równoważnych poświadczeniom w postaci papierowej. W związku z tym nie należy kwestionować skutku prawnego elektronicznego poświadczenia atrybutów z tego powodu, że poświadczenie to ma postać elektroniczną lub że nie spełnia wszystkich wymogów kwalifikowanego elektronicznego poświadczenia atrybutów. W tym celu należy ustanowić ogólne wymogi w celu zapewnienia, aby kwalifikowane elektroniczne poświadczenie atrybutów miało skutek prawny równoważny skutkowi prawnemu legalnie wystawionych poświadczeń w formie papierowej. Wymogi te powinny jednak mieć zastosowanie bez uszczerbku dla prawa Unii lub prawa krajowego określającego dodatkowe wymogi sektorowe w odniesieniu do formy mającej podstawowe skutki prawne, a w szczególności do transgranicznego uznawania kwalifikowanego elektronicznego poświadczenia atrybutów w stosownych przypadkach.

(28)Do szerokiej dostępności i używalności europejskich portfeli tożsamości cyfrowej wymagana jest ich akceptacja przez prywatnych dostawców usług. Prywatne strony ufające świadczące usługi w obszarach transportu, energetyki, bankowości i usług finansowych, zabezpieczenia społecznego, zdrowia, wody pitnej, usług pocztowych, infrastruktury cyfrowej, edukacji lub telekomunikacji powinny akceptować korzystanie z europejskich portfeli tożsamości cyfrowej na potrzeby świadczenia usług, w przypadku gdy silne uwierzytelnienie użytkownika do celów identyfikacji w usługach online jest wymagane na mocy prawa krajowego lub unijnego lub na podstawie zobowiązania umownego. W przypadku gdy bardzo duże platformy internetowe zdefiniowane w art. 25 ust. 1 rozporządzenia [odniesienie do rozporządzenia w sprawie aktu o usługach cyfrowych] wymagają uwierzytelniania użytkowników do celów dostępu do usług online, platformy te powinny być zobowiązane do akceptowania wykorzystywania europejskich portfeli tożsamości cyfrowej na podstawie dobrowolnego wniosku użytkownika. Użytkownicy nie powinni być zobowiązani do korzystania z portfela do celów dostępu do usług prywatnych, ale jeżeli sobie tego życzą, duże platformy internetowe powinny akceptować w tym celu europejski portfel tożsamości cyfrowej przy jednoczesnym poszanowaniu zasady minimalizacji danych. Biorąc pod uwagę znaczenie bardzo dużych platform internetowych ze względu na ich zasięg, w szczególności wyrażony liczbą odbiorców usługi i transakcji finansowych, jest to konieczne, aby zwiększyć ochronę użytkowników przed oszustwami i zapewnić wysoki poziom ochrony danych. Aby przyczynić się do zapewnienia szerokiej dostępności i używalności środków identyfikacji elektronicznej, w tym europejskich portfeli tożsamości cyfrowej objętych zakresem niniejszego rozporządzenia, należy opracować samoregulacyjne kodeksy postępowania na szczeblu Unii („kodeksy postępowania”). Kodeksy postępowania powinny ułatwiać szeroką akceptację środków identyfikacji elektronicznej, w tym europejskich portfeli tożsamości cyfrowej, przez tych dostawców usług, którzy nie kwalifikują się jako bardzo duże platformy i którzy do celów uwierzytelniania użytkownika korzystają z usług identyfikacji elektronicznej świadczonych przez strony trzecie. Kodeksy te należy opracować w terminie 12 miesięcy od przyjęcia niniejszego rozporządzenia. Komisja powinna ocenić skuteczność tych postanowień pod względem dostępności i używalności dla użytkowników europejskich portfeli tożsamości cyfrowej po 18 miesiącach od ich wdrożenia oraz dokonać przeglądu postanowień w celu zapewnienia ich akceptacji w drodze aktów delegowanych przyjętych w świetle tej oceny.

(29)Europejski portfel tożsamości cyfrowej powinien pod względem technicznym umożliwiać selektywne ujawnianie atrybutów stronom ufającym. Funkcja ta powinna stać się podstawową cechą projektową, co zwiększy wygodę i ochronę danych osobowych, w tym jeżeli chodzi o minimalizację przetwarzania danych osobowych.

(30)Atrybuty dostarczane przez kwalifikowanych dostawców usług zaufania w ramach kwalifikowanego poświadczania atrybutów powinny być weryfikowane w zestawieniu ze źródłami autentycznymi bezpośrednio przez kwalifikowanego dostawcę usług zaufania albo przez wyznaczonych pośredników uznanych na poziomie krajowym zgodnie z prawem krajowym lub prawem Unii do celów bezpiecznej wymiany poświadczonych atrybutów między dostawcami usług w zakresie tożsamości lub poświadczania atrybutów a stronami ufającymi.

(31)Bezpieczna identyfikacja elektroniczna i dostarczanie poświadczeń atrybutów powinny zapewniać sektorowi usług finansowych dodatkową elastyczność oraz rozwiązania umożliwiające identyfikację klientów i wymianę określonych atrybutów niezbędnych do spełnienia na przykład wymogów należytej staranności wobec klienta wynikających z rozporządzenia w sprawie przeciwdziałania praniu pieniędzy [odesłanie zostanie dodane po przyjęciu wniosku], wymogów dotyczących odpowiedniego zachowania wynikających z przepisów dotyczących ochrony inwestorów lub do spełnienia wymogów silnego uwierzytelniania klienta w odniesieniu do logowania do rachunku i inicjowania transakcji w dziedzinie usług płatniczych.

(32)Usługi uwierzytelniania witryn internetowych dają użytkownikom pewność, że za daną witryną internetową stoi prawdziwy i prawowity podmiot. Usługi te przyczyniają się do budowy zaufania do prowadzenia działalności gospodarczej online, ponieważ użytkownicy będą mieli zaufanie do witryny internetowej, która została uwierzytelniona. Korzystanie przez witryny internetowe z usług uwierzytelniania witryn internetowych jest dobrowolne. Aby uwierzytelnianie witryny internetowej stało się środkiem zwiększającym zaufanie, zapewniającym użytkownikowi lepsze doświadczenie i wspierającym wzrost na rynku wewnętrznym, niniejsze rozporządzenie określa jednak minimalne obowiązki w zakresie bezpieczeństwa i odpowiedzialności dla dostawców usług uwierzytelniania witryn internetowych i dla tych usług. W tym celu przeglądarki internetowe powinny zapewniać obsługę kwalifikowanych certyfikatów uwierzytelniania witryn internetowych na podstawie rozporządzenia (UE) nr 910/2014 i interoperacyjność z tymi certyfikatami. Przeglądarki powinny uznawać i wyświetlać kwalifikowane certyfikaty uwierzytelniania witryn internetowych, aby zapewnić wysoki poziom bezpieczeństwa, umożliwiając właścicielom witryn internetowych potwierdzenie swojej tożsamości jako właścicieli, a użytkownikom – identyfikację właścicieli witryn internetowych z wysokim stopniem pewności. Aby szerzej propagować korzystanie z kwalifikowanych certyfikatów uwierzytelniania witryn internetowych, organy publiczne w państwach członkowskich powinny rozważyć włączenie tych certyfikatów do swoich witryn internetowych.

(33)Wiele państw członkowskich wprowadziło krajowe wymogi dotyczące usług zapewniających bezpieczną i wiarygodną archiwizację cyfrową, aby umożliwić długoterminową konserwację dokumentów elektronicznych i powiązanych usług zaufania. Do zapewnienia pewności prawa i zaufania konieczne jest ustanowienie ram prawnych ułatwiających transgraniczne uznawanie kwalifikowanych usług archiwizacji elektronicznej. Ramy te mogłyby stworzyć także nowe możliwości rynkowe dla unijnych dostawców usług zaufania.

(34)W kwalifikowanych rejestrach elektronicznych zapisuje się dane w sposób zapewniający unikalność, autentyczność i prawidłową kolejność zapisów danych oraz odporny na ingerencję. Rejestr elektroniczny łączy efekt stosowania znaczników czasu danych z pewnością co do twórcy danych, co stanowi rozwiązanie podobne do podpisu elektronicznego, przy czym dodatkową korzyścią wynikającą z rejestru jest umożliwienie modeli bardziej zdecentralizowanego zarządzania, które są odpowiednie dla współpracy wielostronnej. Rejestr elektroniczny tworzy na przykład wiarygodną ścieżkę audytu w odniesieniu do pochodzenia towarów w handlu transgranicznym, wspiera ochronę praw własności intelektualnej, umożliwia elastyczność rynków energii elektrycznej, stanowi podstawę zaawansowanych rozwiązań w zakresie tożsamości opartych na autonomii jednostki oraz wspomaga skuteczniejsze usługi publiczne w większym stopniu przyczyniające się do transformacji. Aby zapobiec fragmentacji rynku wewnętrznego, należy określić ogólnoeuropejskie ramy prawne umożliwiające transgraniczne uznawanie usług zaufania do celów zapisywania danych w rejestrach elektronicznych.

(35)Certyfikacja w charakterze kwalifikowanych dostawców usług zaufania powinna zapewniać pewność prawa w odniesieniu do przypadków użycia, które opierają się na rejestrach elektronicznych. Ta usługa zaufania do celów rejestrów elektronicznych i kwalifikowanych rejestrów elektronicznych oraz certyfikacja w charakterze kwalifikowanego dostawcy usług zaufania w odniesieniu do rejestrów elektronicznych powinny obowiązywać niezależnie od wymogu, by przypadki użycia były zgodne z prawem Unii lub prawem krajowym zgodnym z prawem Unii. Przypadki użycia związane z przetwarzaniem danych osobowych muszą być zgodne z rozporządzeniem (UE) 2016/679. Przypadki użycia związane z kryptoaktywami powinny być zgodne ze wszystkimi mającymi zastosowanie przepisami finansowymi, np. z dyrektywą w sprawie rynków instrumentów finansowych 23 , dyrektywą w sprawie usług płatniczych 24 i przyszłym rozporządzeniem w sprawie rynków kryptoaktywów 25 .

(36)Aby uniknąć fragmentacji i barier wynikających z rozbieżnych norm i ograniczeń technicznych oraz aby zapewnić skoordynowany proces mający na celu wyeliminowanie zagrożeń dla wdrożenia przyszłych europejskich ram tożsamości cyfrowej, potrzebne są ramy bliskiej i zorganizowanej współpracy między Komisją, państwami członkowskimi i sektorem prywatnym. Aby osiągnąć ten cel, państwa członkowskie powinny współpracować w obrębie ram określonych w zaleceniu Komisji (UE) XXX/XXXX [zestaw narzędzi na potrzeby skoordynowanego podejścia do europejskich ram tożsamości cyfrowej] 26 nad sformułowaniem zestawu narzędzi na potrzeby europejskich ram tożsamości cyfrowej. Zestaw narzędzi powinien zawierać kompleksową architekturę techniczną i ramy odniesienia, zestaw wspólnych norm i technicznych dokumentów referencyjnych oraz zestaw wytycznych i opisów najlepszych praktyk obejmujące co najmniej wszystkie aspekty funkcji i interoperacyjności europejskich portfeli tożsamości cyfrowej, w tym podpisów elektronicznych, oraz kwalifikowanej usługi zaufania służącej poświadczaniu atrybutów, które to rozwiązania określono w niniejszym rozporządzeniu. W tym kontekście państwa członkowskie powinny również osiągnąć porozumienie w sprawie wspólnych elementów modelu biznesowego i struktury opłat europejskich portfeli tożsamości cyfrowej, aby ułatwić korzystanie z tych portfeli, w szczególności przez małe i średnie przedsiębiorstwa w kontekście transgranicznym. Zawartość zestawu narzędzi powinna ewoluować równolegle z postępami w dialogu i procesie przyjmowania europejskich ram tożsamości cyfrowej oraz powinna odzwierciedlać ich wyniki.

(37)Na podstawie art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1525 zasięgnięto opinii Europejskiego Inspektora Ochrony Danych 27 .

(38)Należy zatem odpowiednio zmienić rozporządzenie (UE) 910/2014,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

Artykuł 1

W rozporządzeniu (UE) 910/2014 wprowadza się następujące zmiany:

1)art. 1 otrzymuje brzmienie:

„Celem niniejszego rozporządzenia jest zapewnienie należytego funkcjonowania rynku wewnętrznego oraz odpowiedniego poziomu bezpieczeństwa środków identyfikacji elektronicznej i usług zaufania. W tym celu niniejsze rozporządzenie:

a)określa warunki zapewniania i uznawania przez państwa członkowskie środków identyfikacji elektronicznej osób fizycznych i prawnych, objętych notyfikowanym systemem identyfikacji elektronicznej innego państwa członkowskiego;

b)określa przepisy dotyczące usług zaufania, w szczególności transakcji elektronicznych;

c)ustanawia ramy prawne dla podpisów elektronicznych, pieczęci elektronicznych, elektronicznych znaczników czasu, dokumentów elektronicznych, usług rejestrowanego doręczenia elektronicznego, usług certyfikacyjnych uwierzytelniania witryn internetowych, archiwizacji elektronicznej, elektronicznego poświadczenia atrybutów, zarządzania urządzeniami do składania podpisów i pieczęci elektronicznych na odległość oraz rejestrów elektronicznych;

d)określa warunki wydawania przez państwa członkowskie europejskich portfeli tożsamości cyfrowej.”;

2)w art. 2 wprowadza się następujące zmiany:

a)ust. 1 otrzymuje brzmienie:

„1.    Niniejsze rozporządzenie ma zastosowanie do systemów identyfikacji elektronicznej, które zostały notyfikowane przez państwo członkowskie, do europejskich portfeli tożsamości cyfrowej wydanych przez państwa członkowskie oraz do dostawców usług zaufania mających siedzibę w Unii.”;

b)ust. 3 otrzymuje brzmienie:

„3.    Niniejsze rozporządzenie nie ma wpływu na prawo krajowe ani unijne związane z zawieraniem i ważnością umów lub innych zobowiązań prawnych lub proceduralnych związanych z wymogami sektorowymi dotyczącymi formy mającymi podstawowe skutki prawne.”;

3)w art. 3 wprowadza się następujące zmiany:

a)pkt 2 otrzymuje brzmienie:

„2)    »środek identyfikacji elektronicznej« oznacza materialną lub niematerialną jednostkę, w tym europejskie portfele tożsamości cyfrowej lub dowody osobiste w rozumieniu rozporządzenia (UE) 2019/1157, zawierającą dane identyfikujące osobę i używaną do celów uwierzytelniania dla usługi online lub offline;”;

b)pkt 4 otrzymuje brzmienie:

„4)    »system identyfikacji elektronicznej« oznacza system identyfikacji elektronicznej, w ramach którego wydaje się środki identyfikacji elektronicznej osobom fizycznym lub prawnym, lub osobom fizycznym reprezentującym osoby prawne;”;

c)pkt 14 otrzymuje brzmienie:

„14)    »certyfikat podpisu elektronicznego« oznacza poświadczenie elektroniczne lub zestaw poświadczeń, które przyporządkowują dane służące do walidacji podpisu elektronicznego do osoby fizycznej i potwierdzają co najmniej imię i nazwisko lub pseudonim tej osoby;”;

d)pkt 16 otrzymuje brzmienie:

„16)    »usługa zaufania« oznacza usługę elektroniczną zazwyczaj świadczoną odpłatnie, która obejmuje:

a)tworzenie, weryfikację i walidację podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, usług rejestrowanego doręczenia elektronicznego, elektronicznego poświadczenia atrybutów oraz certyfikatów powiązanych z tymi usługami;

b)tworzenie, weryfikację i walidację certyfikatów uwierzytelniania witryn internetowych;

c)konserwację elektronicznych podpisów, pieczęci lub certyfikatów powiązanych z tymi usługami;

d)archiwizację elektroniczną dokumentów elektronicznych;

e)zarządzanie urządzeniami do składania podpisów i pieczęci elektronicznych na odległość;

f)zapisywanie danych elektronicznych w rejestrze elektronicznym.”;

e)pkt 21 otrzymuje brzmienie:

„21)    »produkt« oznacza sprzęt lub oprogramowanie, lub odpowiednie komponenty sprzętu lub oprogramowania, które są przeznaczone do wykorzystywania w zapewnianiu identyfikacji elektronicznej i świadczeniu usług zaufania;”;

f)dodaje się pkt 23a i 23b w brzmieniu:

„23a)    »kwalifikowane urządzenie do składania podpisu na odległość« oznacza kwalifikowane urządzenie do składania podpisu elektronicznego, którym to urządzeniem kwalifikowany dostawca usług zaufania generuje lub kopiuje dane służące do składania podpisu elektronicznego w imieniu podpisującego lub zarządza tymi danymi;

23b)    »kwalifikowane urządzenie do składania pieczęci na odległość« oznacza kwalifikowane urządzenie do składania pieczęci elektronicznej, którym to urządzeniem kwalifikowany dostawca usług zaufania generuje lub kopiuje dane służące do składania podpisu elektronicznego w imieniu podmiotu składającego pieczęć lub zarządza tymi danymi;”;

g)pkt 29 otrzymuje brzmienie:

„29)    »certyfikat pieczęci elektronicznej« oznacza poświadczenie elektroniczne lub zestaw poświadczeń, które łączą dane służące do walidacji pieczęci elektronicznej z osobą prawną i potwierdzają nazwę tej osoby;”;

h)pkt 41 otrzymuje brzmienie:

„41)    »walidacja« oznacza proces weryfikacji i potwierdzenia ważności podpisu elektronicznego, pieczęci elektronicznej, danych identyfikujących osobę lub elektronicznego poświadczenia atrybutów;”;

i)dodaje się pkt 42–55 w brzmieniu:

„42)    »europejski portfel tożsamości cyfrowej« jest produktem i usługą, które umożliwiają użytkownikowi przechowywanie danych dotyczących tożsamości, danych uwierzytelniających i atrybutów powiązanych z jego tożsamością, dostarczanie ich na żądanie stronom ufającym oraz wykorzystywanie ich do uwierzytelniania online i offline na potrzeby usługi zgodnie z art. 6a, jak również składanie kwalifikowanych podpisów i pieczęci elektronicznych;

43)    »atrybut« jest cechą, właściwością lub przymiotem osoby fizycznej lub prawnej lub podmiotu, wyrażonymi w postaci elektronicznej;

44)    »elektroniczne poświadczenie atrybutów« oznacza poświadczenie w postaci elektronicznej, które umożliwia uwierzytelnienie atrybutów;

45)    »kwalifikowane elektroniczne poświadczenie atrybutów« oznacza elektroniczne poświadczenie atrybutów, które jest wydawane przez kwalifikowanego dostawcę usług zaufania i spełnia wymogi określone w załączniku V;

46)    »źródło autentyczne« oznacza repozytorium lub system, prowadzone w ramach odpowiedzialności podmiotu sektora publicznego lub podmiotu prywatnego, które zawiera atrybuty dotyczące osoby fizycznej lub prawnej i które uważa się za podstawowe źródło tych informacji lub uznaje za autentyczne w prawie krajowym;

47)    »archiwizacja elektroniczna« oznacza usługę zapewniającą odbiór, przechowywanie, usuwanie i transmisję danych lub dokumentów elektronicznych w celu zagwarantowania ich integralności, dokładności ich pochodzenia i cech prawnych przez cały okres zachowywania;

48)    »kwalifikowana usługa archiwizacji elektronicznej« oznacza usługę, która spełnia wymogi określone w art. 45g;

49)    »unijny znak zaufania dla portfela tożsamości cyfrowej« oznacza wskazanie w prosty, rozpoznawalny i jasny sposób, że portfel tożsamości cyfrowej wydano zgodnie z niniejszym rozporządzeniem;

50)    »silne uwierzytelnianie użytkownika« oznacza uwierzytelnianie oparte na wykorzystaniu co najmniej dwóch elementów zaklasyfikowanych jako wiedza, posiadanie i cechy użytkownika, które są niezależne, w taki sposób, aby naruszenie jednego z nich nie zagrażało wiarygodności pozostałych, zaprojektowane w taki sposób, aby chronić poufność danych służących do uwierzytelniania;

51)    »konto użytkownika« oznacza mechanizm umożliwiający użytkownikowi dostęp do usług publicznych lub prywatnych na warunkach określonych przez dostawcę usług;

52)    »dane uwierzytelniające« oznacza dowód zdolności, doświadczenia, prawa lub zgody danej osoby;

53)    »rejestr elektroniczny« oznacza odporny na ingerencję zapis elektroniczny danych, zapewniający autentyczność i integralność zawartych w nim danych, dokładność ich daty i godziny oraz ich uporządkowania chronologicznego;

54)    »dane osobowe« oznaczają wszelkie informacje zdefiniowane w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

55)    »unikalna identyfikacja« oznacza proces, w którym dane identyfikujące osobę lub środki identyfikacji osoby są dopasowywane do istniejącego konta należącego do tej samej osoby lub z nim wiązane.”;

4)art. 5 otrzymuje brzmienie:

„Artykuł 5

Pseudonimy w transakcji elektronicznej

Bez uszczerbku dla skutku prawnego, jaki prawo krajowe przyznaje pseudonimom, nie zakazuje się używania pseudonimów w transakcjach elektronicznych.”;

5)w rozdziale II nagłówek otrzymuje brzmienie:

„SEKCJA I

IDENTYFIKACJA ELEKTRONICZNA”;

6)uchyla się art. 6;

7)dodaje się art. 6a, 6b, 6c i 6d w brzmieniu:

„Artykuł 6a

Europejskie portfele tożsamości cyfrowej

1.    W celu zapewnienia wszystkim osobom fizycznym i prawnym w Unii bezpiecznego, zaufanego i sprawnego dostępu do transgranicznych usług publicznych i prywatnych każde państwo członkowskie wydaje europejski portfel tożsamości cyfrowej w terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia.

2.    Europejskie portfele tożsamości cyfrowej są wydawane:

a)przez państwo członkowskie;

b)na mocy upoważnienia od państwa członkowskiego;

c)niezależnie, lecz są uznawane przez państwo członkowskie.

3.    Europejskie portfele tożsamości cyfrowej umożliwiają użytkownikowi:

a)bezpieczne żądanie i otrzymywanie, przechowywanie, wybieranie, łączenie i udostępnianie – w sposób przejrzysty i identyfikowalny dla użytkownika – niezbędnych danych prawnych identyfikujących osobę i elektronicznego poświadczenia atrybutów na potrzeby uwierzytelniania online i offline w celu korzystania z usług publicznych i prywatnych online;

b)podpisywanie za pomocą kwalifikowanego podpisu elektronicznego.

4.    Portfele tożsamości cyfrowej w szczególności:

a)zapewniają wspólny interfejs:

1)dla kwalifikowanych i niekwalifikowanych dostawców usług zaufania wydających kwalifikowane i niekwalifikowane elektroniczne poświadczenia atrybutów lub inne kwalifikowane i niekwalifikowane certyfikaty do celów wydawania takich poświadczeń i certyfikatów na potrzeby europejskiego portfela tożsamości cyfrowej;

2)dla stron ufających w celu wnioskowania o dane identyfikujące osobę i elektroniczne poświadczenia atrybutów oraz ich walidację;

3)w celu przedstawiania stronom ufającym danych identyfikujących osobę, elektronicznego poświadczenia atrybutów lub innych danych, takich jak dane uwierzytelniające, w trybie lokalnym niewymagającym dostępu internetowego do portfela;

4)dla użytkownika, aby umożliwić interakcję z europejskim portfelem tożsamości cyfrowej i wyświetlić „unijny znak zaufania dla portfela tożsamości cyfrowej”;

b)zapewniają, aby dostawcy usług zaufania w zakresie kwalifikowanych poświadczeń atrybutów nie mogli otrzymywać żadnych informacji o wykorzystaniu tych atrybutów;

c)spełniają wymogi określone w art. 8 w odniesieniu do wysokiego poziomu bezpieczeństwa, w szczególności w zakresie wymogów dotyczących potwierdzania i weryfikacji tożsamości oraz zarządzania środkami identyfikacji elektronicznej i ich uwierzytelniania;

d)zapewniają mechanizm mający na celu zapewnienie, aby strona ufająca była w stanie uwierzytelnić użytkownika i otrzymywać elektroniczne poświadczenia atrybutów;

e)zapewniają, aby dane identyfikujące osobę, o których mowa w art. 12 ust. 4 lit. d), unikalnie i trwale reprezentowały powiązaną z nimi osobę fizyczną lub prawną.

5.    Państwa członkowskie zapewniają mechanizmy walidacji europejskich portfeli tożsamości cyfrowej, aby:

a)zapewnić możliwość weryfikacji ich autentyczności i ważności;

b)umożliwić stronom ufającym weryfikację, czy poświadczenia atrybutów są ważne;

c)umożliwić stronom ufającym i kwalifikowanym dostawcom usług zaufania weryfikację autentyczności i ważności przyporządkowanych danych identyfikujących osobę.

6.    Europejskie portfele tożsamości cyfrowej wydaje się w ramach notyfikowanego systemu identyfikacji elektronicznej o wysokim poziomie bezpieczeństwa. W przypadku osób fizycznych korzystanie z europejskich portfeli tożsamości cyfrowej jest nieodpłatne.

7.    Użytkownik ma pełną kontrolę nad europejskim portfelem tożsamości cyfrowej. Wydawca europejskiego portfela tożsamości cyfrowej nie gromadzi informacji na temat korzystania z portfela, które nie są niezbędne do świadczenia usług związanych z portfelem, ani nie łączy danych identyfikujących osobę ani żadnych innych danych osobowych przechowywanych lub związanych z korzystaniem z europejskiego portfela tożsamości cyfrowej z danymi osobowymi pochodzącymi z innych usług oferowanych przez tego wydawcę lub z usług osób trzecich, które nie są niezbędne do świadczenia usług związanych z portfelem, chyba że użytkownik wyraźnie o to wystąpi. Dane osobowe związane z udostępnianiem europejskich portfeli tożsamości cyfrowej muszą być fizycznie i logicznie oddzielone od wszelkich innych przechowywanych danych. Jeśli europejski portfel tożsamości cyfrowej jest udostępniany przez podmioty prywatne zgodnie z ust. 1 lit. b) i c), przepisy art. 45f ust. 4 stosuje się odpowiednio.

8.    Art. 11 stosuje się odpowiednio do europejskiego portfela tożsamości cyfrowej.

9.    Art. 24 ust. 2 lit. b), e), g) i h) stosuje się odpowiednio do państw członkowskich wydających europejskie portfele tożsamości cyfrowej.

10.    Europejski portfel tożsamości cyfrowej jest dostępny dla osób niepełnosprawnych zgodnie z wymogami dostępności określonymi w załączniku I do dyrektywy (UE) 2019/882.

11.    W terminie 6 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja ustanawia specyfikacje techniczne i operacyjne oraz normy referencyjne dotyczące wymogów, o których mowa w ust. 3, 4 i 5, w drodze aktu wykonawczego dotyczącego wdrożenia europejskiego portfela tożsamości cyfrowej. Wspomniany akt wykonawczy przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

Artykuł 6b

Strony ufające europejskich portfeli tożsamości cyfrowej

1.    W przypadku gdy strony ufające zamierzają polegać na europejskich portfelach tożsamości cyfrowej wydanych zgodnie z niniejszym rozporządzeniem, informują o tym państwo członkowskie, w którym strona ufająca ma siedzibę, aby zapewnić zgodność z wymogami określonymi w prawie Unii lub prawie krajowym w odniesieniu do świadczenia szczególnych usług. Informując o swoim zamiarze polegania na europejskim portfelu tożsamości cyfrowej, informują również o zamierzonym wykorzystaniu europejskiego portfela tożsamości cyfrowej.

2.    Państwa członkowskie wdrażają wspólny mechanizm uwierzytelniania stron ufających.

3.    Strony ufające są odpowiedzialne za przeprowadzenie procedury uwierzytelniania danych identyfikujących osobę oraz elektronicznego poświadczenia atrybutów pochodzących z europejskich portfeli tożsamości cyfrowej.

4.    W terminie 6 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja ustanawia specyfikacje techniczne i operacyjne dotyczące wymogów, o których mowa w ust. 1 i 2, w drodze aktu wykonawczego dotyczącego wdrożenia europejskich portfeli tożsamości cyfrowej, o których mowa w art. 6a ust. 10.

Artykuł 6c

Certyfikacja europejskich portfeli tożsamości cyfrowej

1.    Europejskie portfele tożsamości cyfrowej, które uzyskały certyfikację lub w odniesieniu do których wydano deklarację zgodności w ramach programu certyfikacji cyberbezpieczeństwa zgodnie z rozporządzeniem (UE) 2019/881 i odniesienia do których opublikowano w Dzienniku Urzędowym Unii Europejskiej, uznaje się za spełniające odpowiednie wymogi w zakresie cyberbezpieczeństwa ustanowione w art. 6a ust. 3, 4 i 5 w zakresie, w jakim certyfikat cyberbezpieczeństwa lub deklaracja zgodności, lub ich części obejmują te wymogi.

2.    Spełnienie wymogów określonych w art. 6a ust. 3, 4 i 5 związanych z operacjami przetwarzania danych osobowych dokonywanymi przez wydawcę europejskich portfeli tożsamości cyfrowej poświadcza się zgodnie z rozporządzeniem (UE) 2016/679.

3.    Zgodność europejskich portfeli tożsamości cyfrowej z wymogami określonymi w art. 6a ust. 3, 4 i 5 jest certyfikowana przez akredytowane podmioty publiczne lub prywatne wyznaczone przez państwa członkowskie.

4.    W terminie 6 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja ustanawia – w drodze aktów wykonawczych – wykaz norm certyfikacji europejskich portfeli tożsamości cyfrowej, o których mowa w ust. 3.

5.    Państwa członkowskie przekazują Komisji nazwy i adresy podmiotów publicznych lub prywatnych, o których mowa w ust. 3. Komisja udostępnia te informacje państwom członkowskim.

6.    Komisja jest uprawniona do przyjmowania aktów delegowanych, zgodnie z art. 47, dotyczących ustanowienia specjalnych kryteriów, które muszą spełniać wyznaczone podmioty, o których mowa w ust. 3.

Artykuł 6d

Publikacja wykazu certyfikowanych europejskich portfeli tożsamości cyfrowej

1.    Państwa członkowskie bez zbędnej zwłoki informują Komisję o europejskich portfelach tożsamości cyfrowej, które zostały wydane zgodnie z art. 6a i certyfikowane przez organy, o których mowa w art. 6c ust. 3. Bez zbędnej zwłoki informują również Komisję o odwołaniu certyfikacji.

2.    Na podstawie otrzymanych informacji Komisja sporządza, publikuje i prowadzi wykaz certyfikowanych europejskich portfeli tożsamości cyfrowej.

3.    W terminie 6 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja określa formaty i procedury mające zastosowanie do celów ust. 1 w drodze aktu wykonawczego dotyczącego wdrożenia europejskich portfeli tożsamości cyfrowej, o których mowa w art. 6a ust. 10.”;

8)przed art. 7 dodaje się następujący nagłówek:

„SEKCJA II

SYSTEMY IDENTYFIKACJI ELEKTRONICZNEJ”;

9)w art. 7 formuła wprowadzająca otrzymuje brzmienie:

„Zgodnie z art. 9 ust. 1 państwa członkowskie notyfikują, w terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia, co najmniej jeden system identyfikacji elektronicznej obejmujący co najmniej jeden środek identyfikacji:”;

10)art. 9 ust. 2 i 3 otrzymuje brzmienie:

„2.    Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej wykaz systemów identyfikacji elektronicznej, które zostały notyfikowane na mocy ust. 1 niniejszego artykułu, oraz podstawowe informacje na ich temat.

3.    Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej zmiany w wykazie, o którym mowa w ust. 2, w terminie jednego miesiąca od daty otrzymania notyfikacji.”;

11)dodaje się art. 10a w brzmieniu:

„Artykuł 10a

Naruszenie bezpieczeństwa europejskich portfeli tożsamości cyfrowej

1.    W przypadku gdy nastąpi naruszenie lub częściowa kompromitacja europejskich cyfrowych portfeli wydanych na podstawie art. 6a oraz mechanizmów walidacji, o których mowa w art. 6a ust. 5 lit. a), b) i c), mające wpływ na wiarygodność tych portfeli i mechanizmów lub na wiarygodność pozostałych europejskich portfeli tożsamości cyfrowej, wydające państwo członkowskie bezzwłocznie zawiesza wydawanie lub unieważnia dany europejski portfel tożsamości cyfrowej oraz powiadamia o tym odpowiednio pozostałe państwa członkowskie i Komisję.

2.    W przypadku gdy naruszenie lub kompromitacja, o których mowa w ust. 1, zostaną wyeliminowane, wydające państwo członkowskie przywraca wydawanie i wykorzystywanie europejskiego portfela tożsamości cyfrowej i bez zbędnej zwłoki powiadamia o tym pozostałe państwa członkowskie i Komisję.

3.    Jeżeli naruszenie lub kompromitacja, o których mowa w ust. 1, nie zostaną wyeliminowane w ciągu trzech miesięcy od zawieszenia lub unieważnienia, zainteresowane państwo członkowskie wycofuje dany europejski cyfrowy portfel oraz odpowiednio powiadamia pozostałe państwa członkowskie i Komisję o jego wycofaniu. W przypadku gdy jest to uzasadnione wagą naruszenia, dany europejski portfel tożsamości cyfrowej wycofuje się bezzwłocznie.

4.    Komisja bez zbędnej zwłoki publikuje w Dzienniku Urzędowym Unii Europejskiej odpowiednie zmiany w wykazie, o którym mowa w art. 6d.

5.    W terminie 6 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja doprecyzuje środki, o których mowa w ust. 1 i 3, w drodze aktu wykonawczego dotyczącego wdrożenia europejskich portfeli tożsamości cyfrowej, o których mowa w art. 6a ust. 10.”;

12)dodaje się art. 11a w brzmieniu:

„Artykuł 11a

Unikalna identyfikacja

1.    W przypadku gdy notyfikowane środki identyfikacji elektronicznej i europejskie portfele tożsamości cyfrowej są używane do celów uwierzytelniania, państwa członkowskie zapewniają unikalną identyfikację.

2.    Do celów niniejszego rozporządzenia państwa członkowskie włączają do minimalnego zbioru danych identyfikujących osobę, o którym mowa w art. 12 ust. 4 lit. d), unikalny i trwały identyfikator zgodny z prawem Unii w celu identyfikacji użytkownika na jego wniosek w przypadkach, gdy identyfikacja użytkownika jest wymagana przepisami prawa.

3.    W terminie 6 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja doprecyzuje środki, o których mowa w ust. 1 i 2, w drodze aktu wykonawczego dotyczącego wdrożenia europejskich portfeli tożsamości cyfrowej, o których mowa w art. 6a ust. 10.”;

13)w art. 12 wprowadza się następujące zmiany:

a)w ust. 3 uchyla się lit. c) i d);

b)w ust. 4 lit. d) otrzymuje brzmienie:

„d)    odniesienie do minimalnego zbioru danych identyfikujących osobę niezbędnych do unikalnego i trwałego reprezentowania osoby fizycznej lub prawnej;”;

c)w ust. 6 lit. a) otrzymuje brzmienie:

„a)    wymianę informacji, doświadczeń i dobrych praktyk w zakresie systemów identyfikacji elektronicznej, a w szczególności wymogów technicznych związanych z interoperacyjnością, unikalną identyfikacją i poziomami bezpieczeństwa;”;

14)dodaje się art. 12a w brzmieniu:

„Artykuł 12a

Certyfikacja systemów identyfikacji elektronicznej

1.    Zgodność notyfikowanych systemów identyfikacji elektronicznej z wymogami określonymi w art. 6a, 8 i 10 może być certyfikowana przez podmioty publiczne lub prywatne wyznaczone przez państwa członkowskie.

2.    Wzajemna ocena systemów identyfikacji elektronicznej, o której mowa w art. 12 ust. 6 lit. c), nie ma zastosowania do systemów identyfikacji elektronicznej certyfikowanych zgodnie z ust. 1 ani do części takich systemów. Aby wykazać zgodność takich systemów z wymogami określonymi w art. 8 ust. 2 dotyczącymi poziomów bezpieczeństwa systemów identyfikacji elektronicznej, państwa członkowskie mogą wykorzystać certyfikat lub unijną deklarację zgodności wydane zgodnie z odpowiednim europejskim programem certyfikacji cyberbezpieczeństwa ustanowionym na mocy rozporządzenia (UE) 2019/881.

3.    Państwa członkowskie zgłaszają Komisji nazwy i adresy podmiotów publicznych lub prywatnych, o których mowa w ust. 1. Komisja udostępnia te informacje państwom członkowskim.”;

15)po art. 12a dodaje się następujący nagłówek:

„SEKCJA III

TRANSGRANICZNE KORZYSTANIE ZE ŚRODKÓW IDENTYFIKACJI ELEKTRONICZNEJ’;

16)dodaje się art. 12b i 12c w brzmieniu:

„Artykuł 12b

Transgraniczne korzystanie z europejskich portfeli tożsamości cyfrowej

1.    Jeżeli zgodnie z prawem krajowym lub zgodnie z krajową praktyką administracyjną państwa członkowskie wymagają identyfikacji elektronicznej przy użyciu środka identyfikacji elektronicznej oraz uwierzytelnienia w celu dostępu do usługi online świadczonej przez podmiot sektora publicznego, akceptują również europejskie portfele tożsamości cyfrowej wydane zgodnie z niniejszym rozporządzeniem.

2.    W przypadku gdy prywatne strony ufające świadczące usługi są zobowiązane prawem krajowym lub prawem Unii do stosowania silnego uwierzytelniania użytkownika do celów identyfikacji w usługach online lub w przypadku gdy silne uwierzytelnianie użytkownika jest wymagane na podstawie zobowiązania umownego, w tym w obszarach transportu, energetyki, bankowości i usług finansowych, zabezpieczeń społecznych, zdrowia, wody pitnej, usług pocztowych, infrastruktury cyfrowej, edukacji lub telekomunikacji, prywatne strony ufające akceptują również europejskie portfele tożsamości cyfrowej wydane zgodnie z art. 6a.

3.    W przypadku gdy bardzo duże platformy internetowe zdefiniowane w art. 25 ust. 1 rozporządzenia [odniesienie do rozporządzenia w sprawie aktu o usługach cyfrowych] wymagają uwierzytelniania użytkowników do celów dostępu do usług online, akceptują one również wykorzystywanie europejskich portfeli tożsamości cyfrowej wydanych zgodnie z art. 6a, bezwzględnie na podstawie dobrowolnego wniosku użytkownika i z poszanowaniem minimalnych atrybutów konkretnej usługi online, w odniesieniu do której wymaga się uwierzytelnienia, takich jak poświadczenie wieku.

4.    Aby przyczynić się do zapewnienia szerokiej dostępności i używalności europejskich portfeli tożsamości cyfrowej objętych zakresem niniejszego rozporządzenia, Komisja wspiera i ułatwia opracowywanie samoregulacyjnych kodeksów postępowania na poziomie Unii („kodeksy postępowania”). Te kodeksy postępowania zapewniają akceptowanie środków identyfikacji elektronicznej, w tym europejskich portfeli tożsamości cyfrowej objętych zakresem niniejszego rozporządzenia, w szczególności przez dostawców usług korzystających z usług identyfikacji elektronicznej świadczonych przez strony trzecie do celów uwierzytelniania użytkownika. Komisja ułatwi opracowanie takich kodeksów postępowania w ścisłej współpracy ze wszystkimi odpowiednimi zainteresowanymi stronami i zachęci dostawców usług do ukończenia prac nad kodeksami postępowania w terminie 12 miesięcy od daty przyjęcia niniejszego rozporządzenia, a także do ich skutecznego wdrożenia w terminie 18 miesięcy od daty przyjęcia niniejszego rozporządzenia.

5.    W terminie 18 miesięcy od uruchomienia europejskich portfeli tożsamości cyfrowej Komisja ocenia, czy na podstawie dowodów ukazujących dostępność i używalność europejskich portfeli tożsamości cyfrowej należy zobowiązać dodatkowych prywatnych dostawców usług online do akceptowania wykorzystywania europejskich portfeli tożsamości cyfrowej bezwzględnie na podstawie dobrowolnego wniosku użytkownika. Kryteria oceny mogą obejmować zakres bazy użytkowników, obecność transgraniczną dostawców usług, rozwój technologiczny, zmiany sposobów użytkowania. Komisja jest uprawniona do przyjęcia aktów delegowanych na podstawie tej oceny w odniesieniu do przeglądu wymogów dotyczących uznawania europejskich portfeli tożsamości cyfrowej na podstawie ust. 1–4 niniejszego artykułu.

6.    Do celów niniejszego artykułu europejskie portfele tożsamości cyfrowej nie podlegają wymogom, o którym mowa w art. 7 i 9.

Artykuł 12c

Wzajemne uznawanie innych środków identyfikacji elektronicznej

1.    Jeżeli zgodnie z prawem krajowym lub zgodnie z krajową praktyką administracyjną dostęp do usługi online świadczonej przez podmiot sektora publicznego w jednym państwie członkowskim wymaga identyfikacji elektronicznej przy użyciu środka identyfikacji elektronicznej oraz uwierzytelnienia, w tym pierwszym państwie członkowskim na potrzeby transgranicznego uwierzytelnienia dla tej usługi online uznaje się środek identyfikacji elektronicznej wydany w innym państwie członkowskim, pod warunkiem że spełnione są następujące warunki:

a)środek identyfikacji elektronicznej jest wydany w ramach systemu identyfikacji elektronicznej wymienionego w wykazie, o którym mowa w art. 9;

b)poziom bezpieczeństwa środka identyfikacji elektronicznej odpowiada poziomowi bezpieczeństwa równemu poziomowi bezpieczeństwa wymaganego przez odpowiedni podmiot sektora publicznego na potrzeby dostępu do tej usługi online w zainteresowanym państwie członkowskim lub wyższemu od tego poziomu, a w każdym razie nie niższemu od średniego poziomu bezpieczeństwa;

c)odpowiedni podmiot sektora publicznego w zainteresowanym państwie członkowskim korzysta ze średniego lub wysokiego poziomu bezpieczeństwa w odniesieniu do dostępu do tej usługi online.

Takiego uznania dokonuje się nie później niż 6 miesięcy po opublikowaniu przez Komisję wykazu, o którym mowa w akapicie pierwszym lit. a).

2.    Środek identyfikacji elektronicznej wydawany w ramach systemu identyfikacji elektronicznej wymienionego w wykazie, o którym mowa w art. 9, i odpowiadający niskiemu poziomowi bezpieczeństwa, może być uznany przez podmioty sektora publicznego na potrzeby transgranicznego uwierzytelniania dla usługi online świadczonej przez te podmioty.”;

17)w art. 13 ust. 1 otrzymuje brzmienie:

„1.    Niezależnie od ust. 2 niniejszego artykułu, dostawcy usług zaufania są odpowiedzialni za szkody wyrządzone w sposób zamierzony lub z powodu zaniedbania osobie fizycznej lub prawnej w związku z niewypełnieniem obowiązków określonych w niniejszym rozporządzeniu, a także obowiązków w zakresie zarządzania ryzykiem w cyberprzestrzeni określonych w art. 18 dyrektywy (UE) XXXX/XXXX [dyrektywy NIS 2].”;

18)art.nbsp14 otrzymuje brzmienie:

„Artykuł 14

Aspekty międzynarodowe

1.    Komisja może przyjąć zgodnie z art. 48 ust. 2 akty wykonawcze ustanawiające warunki, na których wymogi państwa trzeciego mające zastosowanie do dostawców usług zaufania mających siedzibę na jego terytorium i do świadczonych przez nich usług zaufania można uznać za równoważne wymogom mającym zastosowanie do kwalifikowanych dostawców usług zaufania mających siedzibę w Unii oraz do świadczonych przez nich kwalifikowanych usług zaufania.

2.    W przypadku przyjęcia przez Komisję aktu wykonawczego na podstawie ust. 1 lub zawarcia przez nią umowy międzynarodowej w sprawie wzajemnego uznawania usług zaufania zgodnie z art. 218 Traktatu usługi zaufania świadczone przez dostawców mających siedzibę w zainteresowanym państwie trzecim są uznawane za równoważne kwalifikowanym usługom zaufania świadczonym przez kwalifikowanych dostawców usług zaufania mających siedzibę w Unii.”;

19)art. 15 otrzymuje brzmienie:

„Artykuł 15

Dostępność dla osób niepełnosprawnych

Świadczenie usług zaufania i produkty przeznaczone dla użytkownika końcowego stosowane do świadczenia tych usług są dostępne dla osób niepełnosprawnych zgodnie z wymogami dostępności określonymi w załączniku I do dyrektywy (UE) 2019/882 w sprawie wymogów dostępności produktów i usług.”;

20)w art. 17 wprowadza się następujące zmiany:

a)w ust. 4 wprowadza się następujące zmiany:

1)ust. 4 lit. c) otrzymuje brzmienie:

„c)    informowanie odpowiednich właściwych organów krajowych zainteresowanego państwa członkowskiego wyznaczonych zgodnie z dyrektywą (UE) XXXX/XXXX [dyrektywą NIS 2] o wszelkich istotnych naruszeniach bezpieczeństwa lub utracie integralności, o których poweźmie wiadomość w ramach wykonywania swoich obowiązków. W przypadku gdy naruszenie bezpieczeństwa lub utrata integralności dotyczy innych państw członkowskich, organ nadzoru powiadamia pojedynczy punkt kontaktowy zainteresowanego państwa członkowskiego wyznaczony zgodnie z dyrektywą (UE) XXXX/XXXX [dyrektywą NIS 2];”;

2)lit. f) otrzymuje brzmienie:

„f)    współpracę z organami nadzorczymi ustanowionymi na mocy rozporządzenia (UE) 2016/679, w szczególności przez informowanie ich, bez zbędnej zwłoki, o wynikach audytów kwalifikowanych dostawców usług zaufania, w przypadku gdy doszło do naruszenia przepisów dotyczących ochrony danych osobowych, a także o naruszeniach bezpieczeństwa stanowiących naruszenie ochrony danych osobowych;”;

b)ust. 6 otrzymuje brzmienie:

„6.    Do dnia 31 marca każdego roku każdy organ nadzoru przekazuje Komisji sprawozdanie z jego głównych działań w poprzednim roku kalendarzowym.”;

c)ust. 8 otrzymuje brzmienie:

„8.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych doprecyzowuje zadania organów nadzoru, o których mowa w ust. 4, oraz określa formaty i procedury dotyczące sprawozdania, o którym mowa w ust. 6. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

21)w art. 18 wprowadza się następujące zmiany:

a)tytuł art. 18 otrzymuje brzmienie:

„Wzajemna pomoc i współpraca”;

b)ust. 1 otrzymuje brzmienie:

„1.    Organy nadzoru prowadzą współpracę, w ramach której wymieniają się dobrymi praktykami oraz informacjami na temat świadczenia usług zaufania.”;

c)dodaje się ust. 4 i 5 w brzmieniu:

„4.    Organy nadzoru i właściwe organy krajowe na podstawie dyrektywy Parlamentu Europejskiego i Rady (UE) XXXX/XXXX [dyrektywy NIS 2] prowadzą współpracę i udzielają sobie wzajemnie pomocy w celu zapewnienia, aby dostawcy usług zaufania spełniali wymogi określone w niniejszym rozporządzeniu i w dyrektywie (UE) XXXX/XXXX [dyrektywie NIS 2]. Organ nadzoru zwraca się do właściwego organu krajowego na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywy NIS 2] o przeprowadzenie działań nadzorczych w celu zweryfikowania zgodności dostawców usług zaufania z wymogami określonymi w dyrektywie (UE) XXXX/XXXX [dyrektywie NIS 2], o wymaganie, aby dostawcy usług zaufania eliminowali wszelkie przypadki niespełnienia tych wymogów, o terminowe przekazywanie wyników wszelkich działań nadzorczych związanych z dostawcami usług zaufania oraz o informowanie organów nadzoru o istotnych incydentach zgłaszanych zgodnie z dyrektywą (UE) XXXX/XXXX [dyrektywą NIS 2].

5.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych ustanawia niezbędne proceduralne warunki ułatwiania współpracy między organami nadzoru, o których mowa w ust. 1.”;

22)w art. 20 wprowadza się następujące zmiany:

a)ust. 1 otrzymuje brzmienie:

„1.    Kwalifikowani dostawcy usług zaufania podlegają audytowi, na ich własny koszt co najmniej raz na 24 miesiące, przeprowadzanemu przez jednostkę oceniającą zgodność. W ramach audytu potwierdza się, czy kwalifikowani dostawcy usług zaufania oraz świadczone przez nich kwalifikowane usługi zaufania spełniają wymogi określone w niniejszym rozporządzeniu oraz w art. 18 dyrektywy (UE) XXXX/XXXX [dyrektywy NIS 2]. Kwalifikowani dostawcy usług zaufania przedkładają powstały w ten sposób raport z oceny zgodności organowi nadzoru w terminie trzech dni roboczych od jego otrzymania.”;

b)w ust. 2 ostatnie zdanie otrzymuje brzmienie:

„W przypadku gdy wydaje się, że zostały naruszone przepisy dotyczące ochrony danych, organ nadzoru informuje o wynikach swoich audytów organy nadzorcze na podstawie rozporządzenia (UE) 2016/679.”;

c)ust. 3 i 4 otrzymują brzmienie:

„3.    W przypadku gdy kwalifikowany dostawca usług zaufania nie spełnia któregokolwiek z wymogów określonych w niniejszym rozporządzeniu, organ nadzoru nakłada na niego wymóg wyeliminowania w ustalonym terminie przypadków niespełnienia wymogów, w stosownych przypadkach.

Jeżeli dostawca ten nie wyeliminuje przypadków niespełnienia wymogów w stosownych przypadkach w terminie ustalonym przez organ nadzoru, organ nadzoru, biorąc pod uwagę w szczególności zakres, czas trwania i skutki tego niespełnienia wymogów, może odebrać status kwalifikowany temu dostawcy lub danej świadczonej przez niego usłudze i żąda od niego, w stosownych przypadkach w ustalonym terminie, spełnienia wymogów określonych w dyrektywie (UE) XXXX/XXXX [dyrektywie NIS 2]. Organ nadzoru informuje organ, o którym mowa w art. 22 ust. 3, do celów zaktualizowania zaufanych list, o których mowa w art. 22 ust. 1.

Organ nadzoru informuje kwalifikowanego dostawcę usług zaufania o odebraniu jego statusu kwalifikowanego lub statusu kwalifikowanego danej usługi.

4.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje numery referencyjne następujących norm:

a)norm dotyczących akredytacji jednostek oceniających zgodność i dotyczących raportu z oceny zgodności, o którym mowa w ust. 1;

b)norm dotyczących wymogów audytów, zgodnie z którymi jednostki oceniające zgodność będą przeprowadzać oceny zgodności kwalifikowanych dostawców usług zaufania, o których mowa w ust. 1;

c)norm dotyczących programów oceny zgodności w zakresie przeprowadzania oceny zgodności kwalifikowanych dostawców usług zaufania przez jednostki oceniające zgodność i w zakresie przekazywania raportu z oceny zgodności, o którym mowa w ust. 1.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

23)w art. 21 wprowadza się następujące zmiany:

a)ust. 2 otrzymuje brzmienie:

„2.    Organ nadzoru weryfikuje, czy dostawca usług zaufania i świadczone przez niego usługi zaufania spełniają wymogi określone w niniejszym rozporządzeniu, w szczególności wymogi dotyczące kwalifikowanych dostawców usług zaufania i świadczonych przez nich kwalifikowanych usług zaufania.

W celu zweryfikowania zgodności dostawcy usług zaufania z wymogami określonymi w art. 18 dyrektywy (UE) XXXX/XXXX [dyrektywy NIS 2] organ nadzoru zwraca się do właściwych organów, o których mowa w dyrektywie (UE) XXXX/XXXX [dyrektywie NIS 2], o przeprowadzenie działań nadzorczych w tym zakresie oraz o udzielenie informacji na temat wyniku tych działań w terminie trzech dni od ich ukończenia.

W przypadku gdy organ nadzoru stwierdzi, że dostawca usług zaufania i świadczone przez niego usługi zaufania spełniają wymogi, o których mowa w akapicie pierwszym, organ nadzoru przyznaje dostawcy status kwalifikowanego dostawcy usług zaufania i status kwalifikowanych usług zaufania świadczonym przez niego usługom oraz informuje organ, o którym mowa w art. 22 ust. 3, w celu zaktualizowania przez niego zaufanych list, o których mowa w art. 22 ust. 1, nie później niż trzy miesiące po zgłoszeniu zgodnie z ust. 1 niniejszego artykułu.

Jeżeli weryfikacja nie została zakończona w terminie trzech miesięcy od zgłoszenia, organ nadzoru informuje dostawcę usług zaufania o przyczynach opóźnienia oraz podaje termin, w którym weryfikacja zostanie zakończona.”;

b)ust. 4 otrzymuje brzmienie:

„4.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych określa formaty i procedury zgłaszania i weryfikacji na potrzeby ust. 1 i 2 niniejszego artykułu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

24)w art. 23 dodaje się ust. 2a w brzmieniu:

„2a.    Ustępy 1 i 2 mają również zastosowanie do dostawców usług zaufania mających siedzibę w państwach trzecich i do świadczonych przez nich usług, pod warunkiem że zostali oni uznani w Unii zgodnie z art. 14.”;

25)w art. 24 wprowadza się następujące zmiany:

a)ust. 1 otrzymuje brzmienie:

„1.    Wydając kwalifikowany certyfikat lub kwalifikowane elektroniczne poświadczenie atrybutów dla usługi zaufania, kwalifikowany dostawca usług zaufania weryfikuje tożsamość i, w stosownym przypadku, wszelkie specjalne atrybuty osoby fizycznej lub prawnej, której wydaje kwalifikowany certyfikat lub kwalifikowane elektroniczne poświadczenie atrybutów.

Informacje, o których mowa w akapicie pierwszym, są weryfikowane przez kwalifikowanego dostawcę usług zaufania albo bezpośrednio, albo polegając na stronie trzeciej, w którykolwiek z następujących sposobów:

a)przy użyciu notyfikowanego środka identyfikacji elektronicznej, który spełnia wymogi określone w art. 8 w odniesieniu do średniego lub wysokiego poziomu bezpieczeństwa;

b)za pomocą kwalifikowanych elektronicznych poświadczeń atrybutów lub certyfikatu kwalifikowanego podpisu elektronicznego, lub kwalifikowanej pieczęci elektronicznej wydanych zgodnie z lit. a), c) lub d);

c)przy użyciu innych metod identyfikacji, które z dużą dozą pewności zapewniają identyfikację osoby fizycznej i których zgodność jest potwierdzona przez jednostkę oceniająca zgodność;

d)przez fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej, za pomocą odpowiednich procedur oraz zgodnie z prawem krajowym, jeżeli inne środki nie są dostępne.”;

b)dodaje się ust. 1a w brzmieniu:

„1a.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych określa minimalne specyfikacje techniczne, normy i procedury w odniesieniu do weryfikacji tożsamości i atrybutów zgodnie z ust. 1 lit. c). Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

c)w ust. 2 wprowadza się następujące zmiany:

1)lit. d) otrzymuje brzmienie:

„d)    przed wejściem w stosunek umowny informuje, w jasny, zrozumiały i przystępny sposób w przestrzeni publicznej oraz indywidualnie wszystkie osoby pragnące skorzystać z kwalifikowanej usługi zaufania o dokładnych warunkach korzystania z tej usługi, w tym o wszelkich ograniczeniach korzystania z niej;”;

2)dodaje się lit. fa) i fb) w brzmieniu:

„fa)    stosuje odpowiednie polityki i wprowadza stosowne środki w celu zarządzania ryzykiem prawnym, biznesowym, operacyjnym oraz każdym innym bezpośrednim lub pośrednim rodzajem ryzyka w odniesieniu do świadczenia kwalifikowanej usługi zaufania. Niezależnie od przepisów art. 18 dyrektywy (UE) XXXX/XXXX [dyrektywy NIS 2] środki te obejmują co najmniej następujące elementy:

(i) środki związane z procedurami rejestracji i onboardingu do usługi;

(ii) środki związane z kontrolami proceduralnymi lub administracyjnymi;

(iii) środki związane z zarządzaniem usługami i ich wprowadzaniem;

fb)    zawiadamia organ nadzoru i, w stosownych przypadkach, inne właściwe podmioty o wszelkich powiązanych przypadkach naruszenia bezpieczeństwa lub zakłóceniach we wdrażaniu środków, o których mowa w lit. fa) ppkt (i), (ii) i (iii), które to naruszenia lub zakłócenia mają znaczący wpływ na świadczoną usługę zaufania lub przetwarzane w jej ramach dane osobowe.”;

3)lit. g) i h) otrzymują brzmienie:

„g)    podejmuje odpowiednie środki zapobiegające fałszowaniu, kradzieży lub niewłaściwemu wykorzystaniu danych, lub nieupoważnionemu usuwaniu, zmianie lub uniemożliwianiu dostępu do danych;

h)    rejestruje i udostępnia tak długo, jak jest to konieczne po zaprzestaniu działalności przez kwalifikowanego dostawcę usług zaufania, wszelkie odpowiednie informacje dotyczące danych wydanych i otrzymanych przez kwalifikowanego dostawcę usług zaufania, do celów przedstawienia dowodów w postępowaniach sądowych i do celów zapewnienia ciągłości usług. Informacje mogą być przechowywane w formie elektronicznej;”;

4)uchyla się lit. j);

d)dodaje się ust. 4a w brzmieniu:

„4a.    Ustępy 3 i 4 stosuje się odpowiednio do unieważniania elektronicznych poświadczeń atrybutów.”;

e)ust. 5 otrzymuje brzmienie:

„5.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje numery referencyjne norm dotyczących wymogów, o których mowa w ust. 2. W przypadku gdy wiarygodne systemy i produkty spełniają te normy, domniemywa się zgodność z wymogami określonymi w niniejszym artykule. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

f)dodaje się ust. 6 w brzmieniu:

„6.    Komisja jest uprawniona do przyjęcia aktów delegowanych dotyczących dodatkowych środków, o których mowa w ust. 2 lit. fa).”;

26)w art. 28 ust. 6 otrzymuje brzmienie:

„6.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje numery referencyjne norm dotyczących kwalifikowanych certyfikatów podpisów elektronicznych. W przypadku gdy kwalifikowany certyfikat podpisu elektronicznego spełnia te normy, domniemywa się zgodność z wymogami określonymi w załączniku I. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

27)W art. 29 dodaje się nowy ust. 1a w brzmieniu:

„1a.    Dane służące do składania podpisu elektronicznego mogą być generowane, zarządzane i kopiowane w imieniu podpisującego wyłącznie przez kwalifikowanego dostawcę usług zaufania, który świadczy kwalifikowaną usługę zaufania w zakresie zarządzania kwalifikowanym urządzeniem do składania podpisu elektronicznego na odległość.”;

28)dodaje się art. 29a w brzmieniu:

„Artykuł 29a

Wymogi dotyczące kwalifikowanej usługi zarządzania urządzeniami do składania podpisu elektronicznego na odległość

1.    Zarządzaniem kwalifikowanymi urządzeniami do składania podpisu elektronicznego na odległość jako usługą kwalifikowaną może zajmować się wyłącznie kwalifikowany dostawca usług zaufania, który:

a)Generuje dane służące do składania podpisu elektronicznego lub zarządza nimi w imieniu podpisującego;

b)niezależnie od pkt 1 lit. d) załącznika II kopiuje dane służące do składania podpisu elektronicznego wyłącznie w celu utworzenia kopii zapasowej, pod warunkiem że spełnione są następujące wymogi:

bezpieczeństwo skopiowanych zbiorów danych musi być na tym samym poziomie co w przypadku oryginalnych zbiorów danych;

liczba skopiowanych zbiorów danych nie przekracza minimum niezbędnego do zapewnienia ciągłości usługi;

c)spełnia wszelkie wymogi określone w sprawozdaniu z certyfikacji konkretnego kwalifikowanego urządzenia do składania podpisu na odległość, wydanym zgodnie z art. 30.

2.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje specyfikacje techniczne oraz numery referencyjne norm do celów ust. 1.”;

29)w art. 30 dodaje się ust. 3a w brzmieniu:

„3a.    Certyfikacja, o której mowa w ust. 1, jest ważna przez 5 lat, pod warunkiem, że regularnie, co dwa lata, przeprowadza się ocenę podatności na zagrożenia. W przypadku stwierdzenia podatności, które nie zostały naprawione, certyfikacja zostaje cofnięta.”;

30)w art. 31 ust. 3 otrzymuje brzmienie:

„3.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych określa formaty i procedury mające zastosowanie na potrzeby ust. 1. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

31)w art. 32 wprowadza się następujące zmiany:

a)w ust. 1 dodaje się akapit w brzmieniu:

„Jeżeli walidacja kwalifikowanych podpisów elektronicznych spełnia normy, o których mowa w ust. 3, domniemywa się zgodność z wymogami określonymi w pierwszym akapicie.”;

b)ust. 3 otrzymuje brzmienie:

„3.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje numery referencyjne norm dotyczących walidacji kwalifikowanych podpisów elektronicznych. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

32)art. 34 otrzymuje brzmienie:

„Artykuł 34

Kwalifikowana usługa konserwacji kwalifikowanych podpisów elektronicznych

1.    Kwalifikowaną usługę konserwacji kwalifikowanych podpisów elektronicznych może świadczyć wyłącznie kwalifikowany dostawca usług zaufania, który stosuje procedury i technologie umożliwiające przedłużenie wiarygodności kwalifikowanego podpisu elektronicznego poza techniczny okres ważności.

2.    W przypadku gdy ustalenia w zakresie kwalifikowanej usługi konserwacji kwalifikowanych podpisów elektronicznych spełniają normy, o których mowa w ust. 3, domniemywa się zgodność z wymogami określonymi w ust. 1.

3.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje numery referencyjne norm dotyczących kwalifikowanej usługi konserwacji kwalifikowanych podpisów elektronicznych. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

33)w art.37 wprowadza się następujące zmiany:

a)dodaje się ust. 2a w brzmieniu:

„2a.    W przypadku gdy zaawansowana pieczęć elektroniczna spełnia normy, o których mowa w ust. 4, domniemywa się zgodność z wymogami dotyczącymi zaawansowanych pieczęci elektronicznych, o których mowa w art. 36 i ust. 5 niniejszego artykułu.”;

b)ust. 4 otrzymuje brzmienie:

„4.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje numery referencyjne norm dotyczących zaawansowanych pieczęci elektronicznych. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

34)w art. 38 wprowadza się następujące zmiany:

a)ust. 1 otrzymuje brzmienie:

„1.    Kwalifikowane certyfikaty pieczęci elektronicznych spełniają wymogi określone w załączniku III. W przypadku gdy kwalifikowany certyfikat pieczęci elektronicznej spełnia normy, o których mowa w ust. 6, domniemywa się zgodność z wymogami określonymi w załączniku III.”;

b)ust. 6 otrzymuje brzmienie:

„6.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje numery referencyjne norm dotyczących kwalifikowanych certyfikatów pieczęci elektronicznych. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

35)dodaje się art. 39a w brzmieniu:

„Artykuł 39a

Wymogi dotyczące kwalifikowanej usługi zarządzania urządzeniami do składania pieczęci elektronicznej na odległość

Art. 29a stosuje się odpowiednio do kwalifikowanej usługi zarządzania urządzeniami do składania pieczęci elektronicznej na odległość.”;

36)w art. 42 wprowadza się następujące zmiany:

a)dodaje się nowy ust. 1a w brzmieniu:

„1a.    W przypadku gdy powiązanie daty i czasu z danymi i precyzyjne źródło czasu spełniają normy, o których mowa w ust. 2, domniemywa się zgodność z wymogami określonymi w ust. 1.”;

b)ust. 2 otrzymuje brzmienie:

„2.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje numery referencyjne norm dotyczących powiązania daty i czasu z danymi oraz precyzyjnych źródeł czasu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

37)w art. 44 wprowadza się następujące zmiany:

a)dodaje się ust. 1a w brzmieniu:

„1a.    W przypadku gdy proces wysyłania i otrzymywania danych spełnia normy, o których mowa w ust. 2, domniemywa się zgodność z wymogami określonymi w ust. 1.”;

b)ust. 2 otrzymuje brzmienie:

„2.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje numery referencyjne norm dotyczących procesów wysyłania i otrzymywania danych. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

38)art. 45 otrzymuje brzmienie:

„Artykuł 45

Wymogi dotyczące kwalifikowanych certyfikatów uwierzytelniania witryn internetowych

1.    Kwalifikowane certyfikaty uwierzytelniania witryn internetowych muszą spełniać wymogi określone w załączniku IV. W przypadku gdy spełniają one normy, o których mowa w ust. 3, domniemywa się zgodność kwalifikowanych certyfikatów uwierzytelniania witryn internetowych z wymogami określonymi w załączniku IV.

2.    Kwalifikowane certyfikaty uwierzytelniania witryn internetowych, o których mowa w ust. 1, muszą być rozpoznawane przez przeglądarki internetowe. Przeglądarki internetowe zapewniają w tym celu, aby dane dotyczące tożsamości dostarczane przy użyciu którejkolwiek z metod były wyświetlane w sposób przyjazny dla użytkownika. Przeglądarki internetowe zapewniają obsługę kwalifikowanych certyfikatów uwierzytelniania witryn internetowych, o których mowa w ust. 1, oraz interoperacyjność z tymi certyfikatami, z wyjątkiem przedsiębiorstw, które uznaje się za mikroprzedsiębiorstwa i małe przedsiębiorstwa zgodnie z zaleceniem Komisji 2003/361/WE w ciągu pierwszych pięciu lat ich działalności jako dostawców usług przeglądania stron internetowych.

3.    W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje specyfikacje oraz numery referencyjne norm dotyczących kwalifikowanych certyfikatów uwierzytelniania witryn internetowych, o których mowa w ust. 1. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

39)po art. 45 dodaje się następujące sekcje 9, 10 i 11:

„SEKCJA 9

ELEKTRONICZNE POŚWIADCZENIE ATRYBUTÓW

Artykuł 45a

Skutki prawne elektronicznego poświadczenia atrybutów

1.    Nie kwestionuje się skutku prawnego elektronicznego poświadczenia atrybutów ani jego dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że poświadczenie to ma postać elektroniczną.

2.    Kwalifikowane elektroniczne poświadczenie atrybutów ma taki sam skutek prawny jak legalnie wystawione poświadczenia w formie papierowej.

3.    Kwalifikowane elektroniczne poświadczenie atrybutów wydane w jednym państwie członkowskim jest uznawane za kwalifikowane elektroniczne poświadczenie atrybutów w każdym innym państwie członkowskim.

Artykuł 45b

Elektroniczne poświadczenie atrybutów w usługach publicznych

W przypadku gdy zgodnie z prawem krajowym dostęp do usługi online świadczonej przez podmiot sektora publicznego wymaga identyfikacji elektronicznej przy użyciu środka identyfikacji elektronicznej oraz uwierzytelnienia, dane identyfikujące osobę w elektronicznym poświadczeniu atrybutów nie zastępują identyfikacji elektronicznej przy użyciu środków identyfikacji elektronicznej ani uwierzytelniania przy identyfikacji elektronicznej, chyba że państwo członkowskie lub podmiot sektora publicznego wyraźnie na to zezwoli. W takim przypadku akceptuje się również kwalifikowane elektroniczne poświadczenia atrybutów wydane w innych państwach członkowskich.

Artykuł 45c

Wymogi dotyczące kwalifikowanego poświadczenia atrybutów

1.    Kwalifikowane elektroniczne poświadczenie atrybutów musi spełniać wymogi określone w załączniku V. W przypadku gdy spełnia ono normy, o których mowa w ust. 4, domniemywa się zgodność kwalifikowanego elektronicznego poświadczenia atrybutów z wymogami określonymi w załączniku V.

2.    Kwalifikowane elektroniczne poświadczenia atrybutów nie podlegają żadnym obowiązkowym wymogom wykraczającym poza wymogi określone w załączniku V.

3.    Jeżeli kwalifikowane elektroniczne poświadczenie atrybutów zostało unieważnione po początkowym wydaniu, traci ono ważność z chwilą jego unieważnienia i w żadnym przypadku nie można przywrócić jego poprzedniego statusu.

4.    W terminie 6 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja określa numery referencyjne norm dotyczących kwalifikowanych elektronicznych poświadczeń atrybutów w drodze aktu wykonawczego dotyczącego wdrożenia europejskich portfeli tożsamości cyfrowej, o których mowa w art. 6a ust. 10.

Artykuł 45d

Weryfikacja atrybutów na podstawie źródeł autentycznych

1.    Państwa członkowskie zapewniają, aby przynajmniej w odniesieniu do atrybutów wymienionych w załączniku VI, jeżeli atrybuty te opierają się na źródłach autentycznych w sektorze publicznym, podjęto działania umożliwiające kwalifikowanym dostawcom elektronicznych poświadczeń atrybutów weryfikację drogą elektroniczną, na żądanie użytkownika, autentyczności atrybutu bezpośrednio w zestawieniu z odpowiednim źródłem autentycznym na poziomie krajowym lub poprzez wyznaczonych pośredników uznanych na poziomie krajowym zgodnie z prawem krajowym lub prawem Unii.

2.    W terminie 6 miesięcy od wejścia w życie niniejszego rozporządzenia, uwzględniając mające zastosowanie normy międzynarodowe, Komisja określa minimalne specyfikacje techniczne, normy i procedury dotyczące katalogu atrybutów i systemów poświadczania atrybutów i procedur weryfikacji kwalifikowanych elektronicznych poświadczeń atrybutów w drodze aktu wykonawczego dotyczącego wdrożenia europejskich portfeli tożsamości cyfrowej, o których mowa w art. 6a ust. 10.

Artykuł 45e

Wydawanie elektronicznych poświadczeń atrybutów do europejskich portfeli tożsamości cyfrowej

Dostawcy kwalifikowanych elektronicznych poświadczeń atrybutów zapewniają interfejs z europejskimi portfelami tożsamości cyfrowej wydanymi zgodnie z art. 6a.

Artykuł 45f

Dodatkowe przepisy w odniesieniu do świadczenia usług elektronicznego poświadczania atrybutów

1.    Dostawcy kwalifikowanych i niekwalifikowanych usług elektronicznego poświadczania atrybutów nie łączą danych osobowych związanych ze świadczeniem tych usług z danymi osobowymi pochodzącymi z jakichkolwiek innych oferowanych przez nich usług.

2.    Dane osobowe związane ze świadczeniem usług elektronicznego poświadczania atrybutów muszą być logicznie oddzielone od wszelkich innych przechowywanych danych.

3.    Dane osobowe związane ze świadczeniem usług kwalifikowanego elektronicznego poświadczania atrybutów muszą być fizycznie i logicznie oddzielone od wszelkich innych przechowywanych danych.

4.    Dostawcy usług kwalifikowanego elektronicznego poświadczania atrybutów świadczą takie usługi w ramach odrębnego podmiotu prawnego.

SEKCJA 10

KWALIFIKOWANE USŁUGI ARCHIWIZACJI ELEKTRONICZNEJ

Artykuł 45g

Kwalifikowane usługi archiwizacji elektronicznej

Kwalifikowaną usługę archiwizacji elektronicznej dokumentów elektronicznych może świadczyć wyłącznie kwalifikowany dostawca usług zaufania, który stosuje procedury i technologie umożliwiające przedłużenie wiarygodności dokumentu elektronicznego poza techniczny okres ważności.

W terminie 12 miesięcy od wejścia w życie niniejszego rozporządzenia Komisja w drodze aktów wykonawczych podaje numery referencyjne norm dotyczących usług archiwizacji elektronicznej. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.

SEKCJA 11

REJESTRY ELEKTRONICZNE

Artykuł 45h

Skutki prawne rejestrów elektronicznych

1.    Rejestrowi elektronicznemu nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że rejestr ten ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych rejestrów elektronicznych.

2.    Kwalifikowany rejestr elektroniczny korzysta z domniemania unikalności i autentyczności zawartych w nim danych, dokładności ich daty i czasu oraz ich sekwencyjnego, chronologicznego uporządkowania w ramach rejestru.

Artykuł 45i

Wymogi dotyczące kwalifikowanych rejestrów elektronicznych

1. Kwalifikowane rejestry elektroniczne muszą spełniać następujące wymogi:

a)są tworzone przez co najmniej jednego kwalifikowanego dostawcę usług zaufania;

b)zapewniają unikalność, autentyczność i prawidłową kolejność zapisów danych w rejestrze;

c)zapewniają prawidłowe, sekwencyjne, chronologiczne uporządkowanie danych w rejestrze oraz dokładność daty i godziny wprowadzenia danych;

d)dane zapisuje się w nich w taki sposób, że każda późniejsza zmiana danych jest bezpośrednio wykrywalna.

2.    W przypadku gdy rejestr elektroniczny spełnia normy, o których mowa w ust. 3, domniemywa się zgodność z wymogami określonymi w ust. 1.

3.    Komisja może w drodze aktów wykonawczych podać numery referencyjne norm dotyczących procesów wykonania i rejestracji zbioru danych w kwalifikowanym rejestrze elektronicznym oraz jego tworzenia. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.”;

40)dodaje się art. 48a w brzmieniu:

„Artykuł 48a

Wymogi dotyczące sprawozdawczości

1.    Państwa członkowskie gwarantują gromadzenie danych statystycznych dotyczących działania europejskich portfeli tożsamości cyfrowej i kwalifikowanych usług zaufania.

2.    Dane statystyczne gromadzone zgodnie z ust. 1 obejmują następujące elementy:

a)liczba osób fizycznych i prawnych posiadających ważny europejski portfel tożsamości cyfrowej;

b)rodzaj i liczba usług akceptujących korzystanie z europejskiego cyfrowego portfela;

c)incydenty i przestoje w infrastrukturze na poziomie krajowym uniemożliwiające korzystanie z aplikacji portfela tożsamości cyfrowej.

3.    Dane statystyczne, o których mowa w ust. 2, udostępnia się publicznie w otwartym i powszechnie używanym formacie nadającym się do odczytu maszynowego.

4.    Do marca każdego roku państwa członkowskie przedkładają Komisji sprawozdanie dotyczące danych statystycznych zebranych zgodnie z ust. 2.”;

41)art. 49 otrzymuje brzmienie:

„Artykuł 49

Przegląd

1.    Komisja dokona przeglądu stosowania niniejszego rozporządzenia i przekaże sprawozdanie Parlamentowi Europejskiemu i Radzie w terminie 24 miesięcy od jego wejścia w życie. Komisja oceni w szczególności, czy należy zmienić zakres stosowania niniejszego rozporządzenia lub jego poszczególnych przepisów, biorąc pod uwagę doświadczenia zdobyte przy stosowaniu niniejszego rozporządzenia, a także rozwój technologiczny, sytuację rynkową i prawną. W stosownych przypadkach do sprawozdania dołącza się propozycje zmian niniejszego rozporządzenia.

2.    Sprawozdanie oceniające obejmuje ocenę dostępności i używalności środków identyfikacji, w tym europejskich portfeli tożsamości cyfrowej, objętych zakresem niniejszego rozporządzenia, oraz ocenę, czy wszyscy prywatni dostawcy usług online korzystający z usług identyfikacji elektronicznej świadczonych przez strony trzecie do celów uwierzytelniania użytkowników zostaną zobowiązani do akceptowania wykorzystywania notyfikowanych środków identyfikacji elektronicznej i europejskiego portfela tożsamości cyfrowej.

3.    Ponadto, co cztery lata po sporządzeniu sprawozdania, o którym mowa w akapicie pierwszym, Komisja przekazuje Parlamentowi Europejskiemu i Radzie sprawozdanie dotyczące postępów w osiąganiu celów niniejszego rozporządzenia.

42)art. 51 otrzymuje brzmienie:

„Artykuł 51

Środki przejściowe

1.    Bezpieczne urządzenia do składania podpisu, których zgodność ustalono zgodnie z art. 3 ust. 4 dyrektywy 1999/93/WE, w dalszym ciągu uznaje się za kwalifikowane urządzenia do składania podpisu elektronicznego na mocy niniejszego rozporządzenia do [data – Urząd Publikacji: proszę wstawić okres czterech lat od wejścia w życie niniejszego rozporządzenia].

2.    Kwalifikowane certyfikaty wydane osobom fizycznym na mocy dyrektywy 1999/93/WE w dalszym ciągu uznaje się za kwalifikowane certyfikaty podpisów elektronicznych na mocy niniejszego rozporządzenia do [data – Urząd Publikacji: proszę wstawić okres czterech lat od wejścia w życie niniejszego rozporządzenia].”.

43)w załączniku I wprowadza się zmiany zgodnie z załącznikiem I do niniejszego rozporządzenia;

44)załącznik II zastępuje się tekstem znajdującym się w załączniku II do niniejszego rozporządzenia;

45)w załączniku III wprowadza się zmiany zgodnie z załącznikiem III do niniejszego rozporządzenia;

46)w załączniku IV wprowadza się zmiany zgodnie z załącznikiem IV do niniejszego rozporządzenia;

47)dodaje się nowy załącznik V w brzmieniu określonym w załączniku V do niniejszego rozporządzenia;

48)do niniejszego rozporządzenia dodaje się nowy załącznik VI.

Artykuł 2

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia […] r.

OCENA SKUTKÓW FINANSOWYCH REGULACJI

1.STRUKTURA WNIOSKU/INICJATYWY 

1.1.Tytuł wniosku/inicjatywy

1.2.Obszary polityki, których dotyczy wniosek/inicjatywa 

1.3.Wniosek/inicjatywa dotyczy: 

 nowego działania 

 nowego działania, będącego następstwem projektu pilotażowego/działania przygotowawczego 28  

przedłużenia bieżącego działania 

 połączenia lub przekształcenia co najmniej jednego działania pod kątem innego/nowego działania 

1.4.Cel(e)

1.4.1.Cel(e) ogólny(e)

1.4.2.Cel(e) szczegółowy(e)

1.4.3.Oczekiwane wyniki i wpływ

Należy wskazać, jakie efekty przyniesie wniosek/inicjatywa beneficjentom/grupie docelowej.

1.4.4.Wskaźniki dotyczące realizacji celów

Należy wskazać wskaźniki stosowane do monitorowania postępów i osiągnięć.

1.5.Uzasadnienie wniosku/inicjatywy 

1.5.1.Potrzeby, które należy zaspokoić w perspektywie krótko- lub długoterminowej, w tym szczegółowy terminarz przebiegu realizacji inicjatywy

1.5.2.Wartość dodana z tytułu zaangażowania Unii Europejskiej (może wynikać z różnych czynników, na przykład korzyści koordynacyjnych, pewności prawa, większej efektywności lub komplementarności). Na potrzeby tego punktu „wartość dodaną z tytułu zaangażowania Unii” należy rozumieć jako wartość wynikającą z unijnej interwencji, wykraczającą poza wartość, która zostałaby wytworzona przez same państwa członkowskie.

1.5.3.Główne wnioski wyciągnięte z podobnych działań

1.5.4.Spójność z wieloletnimi ramami finansowymi oraz możliwa synergia z innymi właściwymi instrumentami

1.5.5.Ocena różnych dostępnych możliwości finansowania, w tym zakresu przegrupowania środków

1.6.Czas trwania i wpływ finansowy wniosku/inicjatywy

 Ograniczony czas trwania

    Okres trwania wniosku/inicjatywy: od [DD/MM]RRRR r. do [DD/MM]RRRR r.

    Okres trwania wpływu finansowego: od RRRR r. do RRRR r. w odniesieniu do środków na zobowiązania oraz od RRRR r. do RRRR r. w odniesieniu do środków na płatności.

 Nieograniczony czas trwania

Wprowadzenie w życie z okresem rozruchu od RRRR r. do RRRR r.,

po którym następuje faza operacyjna.

1.7.Planowane tryby zarządzania 29  

 Bezpośrednie zarządzanie przez Komisję

 w ramach jej służb, w tym za pośrednictwem jej pracowników w delegaturach Unii;

 przez agencje wykonawcze;

 Zarządzanie dzielone z państwami członkowskimi

 Zarządzanie pośrednie poprzez przekazanie zadań związanych z wykonaniem budżetu:

 państwom trzecim lub organom przez nie wyznaczonym;

 organizacjom międzynarodowym i ich agencjom (należy wyszczególnić);

 EBI oraz Europejskiemu Funduszowi Inwestycyjnemu;

 organom, o których mowa w art. 70 i 71 rozporządzenia finansowego;

 organom prawa publicznego;

 podmiotom podlegającym prawu prywatnemu, które świadczą usługi użyteczności publicznej, o ile zapewniają one odpowiednie gwarancje finansowe;

 podmiotom podlegającym prawu prywatnemu państwa członkowskiego, którym powierzono realizację partnerstwa publiczno-prywatnego oraz które zapewniają odpowiednie gwarancje finansowe;

 osobom odpowiedzialnym za wykonanie określonych działań w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa na mocy tytułu V Traktatu o Unii Europejskiej oraz określonym we właściwym podstawowym akcie prawnym.

W przypadku wskazania więcej niż jednego trybu należy podać dodatkowe informacje w części „Uwagi”.

Uwagi

2.ŚRODKI ZARZĄDZANIA 

2.1.Zasady nadzoru i sprawozdawczości 

Określić częstotliwość i warunki

2.2.System zarządzania i kontroli 

2.2.1.Uzasadnienie dla systemu zarządzania, mechanizmów finansowania wykonania, warunków płatności i proponowanej strategii kontroli

2.2.2.Informacje dotyczące zidentyfikowanego ryzyka i systemów kontroli wewnętrznej ustanowionych w celu jego ograniczenia

2.2.3.Oszacowanie i uzasadnienie efektywności kosztowej kontroli (relacja kosztów kontroli do wartości zarządzanych funduszy powiązanych) oraz ocena prawdopodobnego ryzyka błędu (przy płatności i przy zamykaniu) 

2.3.Środki zapobiegania nadużyciom finansowym i nieprawidłowościom 

Określić istniejące lub przewidywane środki zapobiegania i ochrony, np. ze strategii zwalczania nadużyć finansowych.

3.SZACUNKOWY WPŁYW FINANSOWY WNIOSKU/INICJATYWY 

3.1.Działy wieloletnich ram finansowych i linie budżetowe po stronie wydatków, na które wniosek/inicjatywa ma wpływ 

Istniejące linie budżetowe

Według działów wieloletnich ram finansowych i linii budżetowych

Proponowane nowe linie budżetowe

Według działów wieloletnich ram finansowych i linii budżetowych

3.2.Szacunkowy wpływ finansowy wniosku na środki 

3.2.1.Podsumowanie szacunkowego wpływu na środki operacyjne 

    Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków operacyjnych

    Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków operacyjnych, jak określono poniżej:

w mln EUR (do trzech miejsc po przecinku)

Niniejszą część uzupełnia się przy użyciu „danych budżetowych o charakterze administracyjnym”, które należy najpierw wprowadzić do załącznika do oceny skutków finansowych regulacji (załącznika V do zasad wewnętrznych), przesyłanego do DECIDE w celu konsultacji między służbami.

w mln EUR (do trzech miejsc po przecinku)

w mln EUR (do trzech miejsc po przecinku)

3.2.2.Przewidywany produkt finansowany ze środków operacyjnych 

Środki na zobowiązania w mln EUR (do trzech miejsc po przecinku)

3.2.3.Podsumowanie szacunkowego wpływu na środki administracyjne 

    Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków administracyjnych

    Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków administracyjnych, jak określono poniżej:

w mln EUR (do trzech miejsc po przecinku)

Potrzeby w zakresie środków na zasoby ludzkie i inne wydatki o charakterze administracyjnym zostaną pokryte z zasobów dyrekcji generalnej już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.

3.2.4.Szacowane zapotrzebowanie na zasoby ludzkie

    Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania zasobów ludzkich.

    Wniosek/inicjatywa wiąże się z koniecznością wykorzystania zasobów ludzkich, jak określono poniżej:

Wartości szacunkowe należy wyrazić w ekwiwalentach pełnego czasu pracy

XX oznacza odpowiedni obszar polityki lub odpowiedni tytuł w budżecie.

Potrzeby w zakresie zasobów ludzkich zostaną pokryte z zasobów dyrekcji generalnej już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.

Opis zadań do wykonania:

3.2.5.Zgodność z obowiązującymi wieloletnimi ramami finansowymi 

Wniosek/inicjatywa:

    może zostać w pełni sfinansowany(a) przez przegrupowanie środków w ramach odpowiedniego działu wieloletnich ram finansowych (WRF).

    wymaga zastosowania nieprzydzielonego marginesu środków w ramach odpowiedniego działu WRF lub zastosowania specjalnych instrumentów zdefiniowanych w rozporządzeniu w sprawie WRF.

    wymaga rewizji WRF.

3.2.6.Udział osób trzecich w finansowaniu 

Wniosek/inicjatywa:

    nie przewiduje współfinansowania ze strony osób trzecich

    przewiduje współfinansowanie ze strony osób trzecich szacowane zgodnie z poniższymi szacunkami:

środki w mln EUR (do trzech miejsc po przecinku)

3.3.Szacunkowy wpływ na dochody 

    Wniosek/inicjatywa nie ma wpływu finansowego na dochody

    Wniosek/inicjatywa ma wpływ finansowy określony poniżej:

    wpływ na zasoby własne

    wpływ na dochody inne

Wskazać, czy dochody są przypisane do linii budżetowej po stronie wydatków    

w mln EUR (do trzech miejsc po przecinku)

W przypadku wpływu na dochody przeznaczone na określony cel należy wskazać linie budżetowe po stronie wydatków, które ten wpływ obejmie.

Pozostałe uwagi (np. metoda/wzór użyte do obliczenia wpływu na dochody albo inne informacje).

ZAŁĄCZNIK 
do OCENY SKUTKÓW FINANSOWYCH REGULACJI

Tytuł wniosku/inicjatywy:

1.LICZBA i KOSZT ZASOBÓW LUDZKICH UZNANYCH ZA NIEZBĘDNE

2.KOSZT POZOSTAŁYCH WYDATKÓW ADMINISTRACYJNYCH

3.ŁĄCZNE KOSZTY ADMINISTRACYJNE

4.METODY OBLICZANIA SZACUNKOWYCH KOSZTÓW

4.1.Zasoby ludzkie

4.2.Pozostałe wydatki administracyjne

1)Koszt zasobów ludzkich uznanych za niezbędne

    Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania zasobów ludzkich.

    Wniosek/inicjatywa wiąże się z koniecznością wykorzystania zasobów ludzkich, jak określono poniżej:

w mln EUR (do trzech miejsc po przecinku)

4.3.Potrzeby w zakresie zasobów ludzkich zostaną pokryte z zasobów dyrekcji generalnej już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.

4.4.

4.5.

Potrzeby w zakresie zasobów ludzkich zostaną pokryte z zasobów dyrekcji generalnej już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.

4.6.Koszt pozostałych wydatków administracyjnych

4.7.Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków administracyjnych

4.8.Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków administracyjnych, jak określono poniżej:

w mln EUR (do trzech miejsc po przecinku)

w mln EUR (do trzech miejsc po przecinku)

5.Koszty administracyjne ogółem (wszystkie działy WRF)

w mln EUR (do trzech miejsc po przecinku)

1)Potrzeby w zakresie środków administracyjnych zostaną pokryte ze środków już przydzielonych na zarządzanie tym działaniem lub przesuniętych, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.

6.Metody obliczania szacunkowych kosztów

a)Zasoby ludzkie

W niniejszej części określono metodę obliczania szacunkowych kosztów zasobów ludzkich uznanych za niezbędne (założenia co do obciążenia pracą, w tym konkretne stanowiska pracy (profile zawodowe wg Sysper 2), kategorie personelu i odpowiadające im średnie koszty)

7.Pozostałe wydatki administracyjne

Należy wskazać metodę obliczeń zastosowaną w odniesieniu do poszczególnych linii budżetowych,

a w szczególności założenia będące podstawą obliczeń (np. liczba posiedzeń rocznie, średnie koszty itp.)

(1)    Dz.U. L 257 z 28.8.2014, s. 73.

(2)    [po przyjęciu dodać odesłanie]

(3)    https://www.consilium.europa.eu/media/45927/021020-euco-final-conclusions-pl.pdf

(4)    Orędzie o stanie Unii wygłoszone w dniu 16 września 2020 r., zob. https://ec.europa.eu/commission/presscorner/detail/pl/SPEECH_20_1655

(5)    Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Kształtowanie cyfrowej przyszłości Europy”.

(6)    Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Cyfrowy kompas na 2030 r.: europejska droga w cyfrowej dekadzie”.

(7)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Dz.U. L 119 z 4.5.2016, s. 1.

(8)    https://ec.europa.eu/commission/presscorner/detail/pl/IP_20_2391

(9)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1724 z dnia 2 października 2018 r. w sprawie utworzenia jednolitego portalu cyfrowego w celu zapewnienia dostępu do informacji, procedur oraz usług wsparcia i rozwiązywania problemów, Dz.U. L 295 z 21.11.2018, s. 1.

(10)    Europejski plan działania na rzecz demokracji, COM(2020) 790 final.

(11)    Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (tekst mający znaczenie dla EOG), Dz.U. L 173 z 12.6.2014, s. 349.

(12)    Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE, Dz.U. L 337 z 23.12.2015, s. 35.

(13)    Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów i zmieniającego dyrektywę (UE) 2019/1937, COM(2020) 593 final.

(14)    Gartner, Blockchain Evolution [Ewolucja łańcucha bloków], 2020 r.

(15)    Dz.U. C […] z […], s. […].

(16)    COM(2020) 67 final.

(17)    https://www.consilium.europa.eu/pl/press/press-releases/2020/10/02/european-council-conclusions-1-2-october-2020/

(18)    COM(2021) 118 final.

(19)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. L 119 z 4.5.2016, s. 1.

(20)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie), Dz.U. L 151 z 7.6.2019, s. 15.

(21)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/1157 z dnia 20 czerwca 2019 r. w sprawie poprawy zabezpieczeń dowodów osobistych obywateli Unii i dokumentów pobytowych wydawanych obywatelom Unii i członkom ich rodzin korzystającym z prawa do swobodnego przemieszczania się (Dz.U. L 188 z 12.7.2019, s. 67).

(22)    Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/882 z dnia 17 kwietnia 2019 r. w sprawie wymogów dostępności produktów i usług (Dz.U. L 151 z 7.6.2019, s. 70).

(23)    Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (tekst mający znaczenie dla EOG), Dz.U. L 173 z 12.6.2014, s. 349.

(24)    Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE, Dz.U. L 337 z 23.12.2015, s. 35.

(25)    Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów i zmieniającego dyrektywę (UE) 2019/1937, COM(2020) 593 final.

(26)    [po przyjęciu wstawić odesłanie]

(27)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).

(28)    O którym mowa w art. 58 ust. 2 lit. a) lub b) rozporządzenia finansowego.

(29)    Wyjaśnienia dotyczące trybów zarządzania oraz odniesienia do rozporządzenia finansowego znajdują się na następującej stronie: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx  

(30)    Środki zróżnicowane/środki niezróżnicowane

(31)    EFTA: Europejskie Stowarzyszenie Wolnego Handlu.

(32)    Kraje kandydujące oraz w stosownych przypadkach potencjalne kraje kandydujące Bałkanów Zachodnich.

(33)    Jeżeli faktyczne koszty przekroczą podane kwoty, zostaną one pokryte w ramach 02 04 05 01.

(34)    Zgodnie z oficjalną nomenklaturą budżetową.

(35)    Wsparcie techniczne lub administracyjne oraz wydatki na wsparcie realizacji programów lub działań UE (dawne linie „BA”), pośrednie badania naukowe, bezpośrednie badania naukowe.

(36)    Produkty odnoszą się do produktów i usług, które zostaną zapewnione (np. liczba sfinansowanych wymian studentów, liczba kilometrów zbudowanych dróg itp.).

(37)    Zgodnie z opisem w pkt 1.4.2. „Cel(e) szczegółowy(e) …”.

(38)    Wsparcie techniczne lub administracyjne oraz wydatki na wsparcie realizacji programów lub działań UE (dawne linie „BA”), pośrednie badania naukowe, bezpośrednie badania naukowe.

(39)    W ramach podpułapu na personel zewnętrzny ze środków operacyjnych (dawne linie „BA”).

(40)    Rok N jest rokiem, w którym rozpoczyna się realizację wniosku/inicjatywy. „N” należy zastąpić oczekiwanym pierwszym rokiem realizacji (np.: 2021). Tak samo należy postąpić dla kolejnych lat.

(41)    W przypadku tradycyjnych zasobów własnych (opłaty celne, opłaty wyrównawcze od cukru) należy wskazać kwoty netto, tzn. kwoty brutto po odliczeniu 20 % na poczet kosztów poboru.

(42)    Należy wybrać odpowiednią linię budżetową lub w razie potrzeby wskazać inną; jeżeli sprawa dotyczy większej liczby linii budżetowych, należy podzielić personel według odpowiednich linii budżetowych.

(43)    Należy wybrać odpowiednią linię budżetową lub w razie potrzeby wskazać inną; jeżeli sprawa dotyczy większej liczby linii budżetowych, należy podzielić personel według odpowiednich linii budżetowych.

(44)    Należy określić rodzaj komitetu i grupę, do której należy.

(45)    Należy zasięgnąć opinii zespołu ds. inwestycji informatycznych DG DIGIT (zob. wytyczne w sprawie finansowania technologii informatycznych, C(2020) 6126 final z 10.9.2020, s. 7).

(46)    Należy zasięgnąć opinii zespołu ds. inwestycji informatycznych DG DIGIT (zob. wytyczne w sprawie finansowania technologii informatycznych, C(2020) 6126 final z 10.9.2020, s. 7).

(47)    Pozycja ta obejmuje lokalne systemy administracyjne i wkłady na rzecz współfinansowania systemów informatycznych zarządzanych przez Komisję (zob. wytyczne w sprawie finansowania technologii informatycznych, C(2020) 6126 final z 10.9.2020).

KOMISJA EUROPEJSKA

Bruksela, dnia 3.6.2021

COM(2021) 281 final

ZAŁĄCZNIK

do wniosku dotyczącego

rozporządzenia Parlamentu Europejskiego i Rady

zmieniającego rozporządzenie (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej

{SEC(2021) 228 final} - {SWD(2021) 124 final} - {SWD(2021) 125 final}